Th` ese

Des relations entre s uret e et s ecurit e

Pr esent ee a `

T el ecom ParisTech
pour obtenir

le grade de docteur
Ecole doctorale : EDITE de Paris Sp ecialit e : Informatique et R eseaux

par

`tre-Cambace de `s Ludovic Pie

Soutenue publiquement le 3 novembre 2010 Jury Pr Marc Bouissou Dr Claude Chaudet Dr V eronique Delebarre Pr Nouredine Hadjsaid Pr Michel Riguidel Dr Eric Totel Pr Enrico Zio (Ecole Centrale) (T el ecom ParisTech) (SafeRiver) (INPG) (T el ecom ParisTech) (Sup elec) (Politecnico di Milano) Examinateur Examinateur Examinateur Rapporteur Directeur de th` ese Rapporteur Examinateur

Travaux eectu es dans le groupe I2D du d epartement Sinetics dEDF R&D et au sein du d epartement Informatique et R eseaux de T el ecom ParisTech.

` Am A elia, n ee en toute s uret e et en toute s ecurit e.

Remerciements
Singuli` ere page que celle des remerciements. Premi` ere parcourue mais derni` ere ecrite ; personnelle, voire intime, dans un m emoire qui se veut neutre et scientique ; ` a la fois sans rapport formel avec les travaux pr esent es, et pourtant si profond ement li ee ` a leur d eroulement. Singuli` ere mais essentielle, car en eet, cette th` ese naurait jamais vu le jour sans de nombreux et inestimables soutiens ` a qui ces quelques lignes vont t acher de rendre hommage. Ce travail de th` ese a et e eectu e au sein du d epartement Informatique et R eseaux de T el ecom ParisTech, dans le cadre de mes activit es ding enieur-chercheur ` a EDF R&D. Je commencerai ainsi par remercier mes responsables hi erarchiques successifs ` a EDF, qui mont permis de me lancer dans cette aventure et mont accord e leur conance pour mener de front mes missions et ces recherches. Je pense en particulier ` a Vincent Gayrard, Eric Lorentz et Fran coise Waeckel, auxquels se sont joints David Bateman et Olivier Morvant par la suite. Je remercie aussi mes coll` egues du groupe I2D (dont notamment l equipe s ecurit e, i.e. les Pascaux, les Fr ed erics, Alia...) pour leur soutien et surtout leur patience vis-` a-vis de ma disponibilit e uctuante , en particulier durant la r edaction de ce m emoire. Je souhaite egalement exprimer toute ma gratitude ` a certains coll` egues de lautre c ot e (i.e. la s uret e) pour leur int er et et leur appui dans la r ealisation de ces travaux. Parmi eux, je remercie tout particuli` erement Gilles Deleuze pour avoir attir e mon attention sur la probl ematique des interactions entre s uret e et s ecurit e, et Marc Bouissou, pour mavoir initi e et epaul e quant ` a leurs aspects les plus th eoriques. En fait, sans les qualit es humaines et p edagogiques de ce dernier, sa ma trise technique et sa disponibilit e (combien dheures sup et de discussions Skype ?) cette th` ese aurait certainement eu un autre visage... et une autre dur ee. Ce fut aussi ` a la fois un plaisir et un honneur de le compter parmi les membres de mon jury. De plus, je souhaite exprimer toute ma reconnaissance ` a mon encadrement de T el ecom ParisTech, cest ` a dire Michel Riguidel, pour la conance quil ma accord ee, et Claude Chaudet, pour son suivi attentif, ses conseils, ses encouragements et ses relectures constructives. Cest une grande chance davoir ` noter quelles mont aussi permis de c pu compter sur Claude durant ces trois ann ees. A otoyer bon nombre dautres membres du d epartement Infres, aussi bien personnels administratifs, enseignants-chercheurs et doctorants, que je salue et remercie : ils ont su rendre mon s ejour dans leur laboratoire, certes intermittent, agr eable et enrichissant. Jadresse enn une mention sp eciale ` a l equipe de la biblioth` eque, souvent sollicit ee par mon app etit bibliographique et toujours prompte ` a donner suite ` a ses demandes. Par ailleurs, je tiens ` a exprimer la plus sinc` ere gratitude ` a mon jury, et tout particuli` erement ` a Eric Totel et ` a Nouredine Hadjsaid pour leur analyse minutieuse en tant que rapporteurs. Mes remerciements vont aussi aux examinateurs de ces travaux : si jai d ej` a pu les exprimer concernant Marc, Claude et Michel Riguidel, jajoute un chaleureux merci ` a V eronique Delebarre pour lint er et quelle a port e` a mes recherches, et mille grazzie ` a Enrico Zio pour mavoir fait lhonneur de pr esider mon jury avec un savant m elange de solennit e, dhumour et d` a-propos. Enn, ces trois ann ees passionnantes nauraient sans doute pas eu le m eme go ut sans l equilibre et le soutien apport es par mes amis et ma famille (et sur un tout autre plan, les cookies Pepperidge Farm ). Merci ` a Guillaume et Marco pour avoir, chacun ` a leur fa con, suivi et partag e lavancement de ces travaux ; merci aussi ` a Beno t pour mavoir inspir e lid ee de mener cette th` ese et mavoir toujours encourag e depuis. Merci ` a ma belle-famille pour leur g en erosit e et leur inestimable appui logistique dans les phases critiques de la r edaction de ce m emoire. Merci ` a mon oncle Jean pour ses interventions linguistiques (et ses proverbes africains) appr eci ees. Merci enn ` a mes fr` eres et ` a mes parents pour leur appui ind efectible dans ce projet. Je r eserve mes derniers et plus profonds remerciements ` a Aur elie, qui ma patiemment accompagn e durant la dur ee de cette th` ese, tout en sachant memmener dans de nombreuses autres aventures, ` a m eme de relativiser grandement ces activit es...

Table des mati` eres

Introduction I SEMA, un r ef erentiel pour di erencier les termes s uret e et s ecurit e 1 Di erents usages et distinctions entre s uret e et s ecurit e. . . . . . . . . . 1.1 Une situation tr` es confuse . . . . . . . . . . . . . . . . . . . . . . 1.2 Raisonner par distinction . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Sources utilis ees . . . . . . . . . . . . . . . . . . . . . . 1.2.2 Analyse g en erique . . . . . . . . . . . . . . . . . . . . . ements danalyse lexicale . . . . . . . . . . . . . . . . 1.2.3 El 1.2.4 Synth` ese et proposition . . . . . . . . . . . . . . . . . . 1.2.5 Croisement des distinctions S-E et M-A . . . . . . . . . 2 Le cadre r ef erentiel SEMA . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Utilisation, pertinence et limites de SEMA . . . . . . . . . . . . 3 Exemples et cas dapplication . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Les r eseaux electriques . . . . . . . . . . . . . . . . . . . . . . . . 3.2 La production electronucl eaire . . . . . . . . . . . . . . . . . . . 3.3 Les t el ecommunications et r eseaux . . . . . . . . . . . . . . . . . 3.4 Utilisation des termes s uret e et s ecurit e dans ce m emoire . . . . 4 Perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 5 6 6 6 6 9 10 11 13 13 13 14 15 15 16 17 18 18 19 21 22 22 22 23 24 24 26 26 26 26 27 28 29 30 30 30 30 30 30 32 32

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . .

II Similitudes, di erences et inspirations r eciproques entre s uret e et s ecurit e 1 Similitudes et di erences dordre g en eral . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Similitudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1 Le risque comme notion fondamentale . . . . . . . . . . . . . . . . . . . . 1.1.2 Similarit es dans les grands principes de conception et dexploitation . . . 1.1.3 Non-cumulativit e et non-composabilit e des mesures de s ecurit e et de s uret e 1.1.4 Autres similitudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Di erences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Des risques de nature di erente . . . . . . . . . . . . . . . . . . . . . . . 1.2.2 Di erence dans la gradation des cons equences . . . . . . . . . . . . . . . 1.2.3 De l evaluation de la menace/du danger . . . . . . . . . . . . . . . . . . . 1.2.4 Des cadres th eoriques et m ethodologiques d evaluation distincts . . . . . 1.2.5 Autres di erences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 S uret e et s ecurit e` a travers leurs techniques d evaluation . . . . . . . . . . . . . . . . . . . 2.1 Consid erations pr eliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Des bo tes ` a outils pour l evaluation ? . . . . . . . . . . . . . . . . . . 2.1.2 Liens entre s uret e, abilit e et s uret e de fonctionnement . . . . . . . . . . 2.1.3 Monde num erique et monde physique . . . . . . . . . . . . . . . . . . . . 2.2 Quelques techniques pour l evaluation de la s uret e . . . . . . . . . . . . . . . . . . 2.2.1 Approches qualitatives structur ees . . . . . . . . . . . . . . . . . . . . . . 2.2.2 Approche par conformit e` a des r ef erentiels . . . . . . . . . . . . . . . . . 2.2.3 Approches quantitatives par mod` eles probabilistes statiques . . . . . . .

2.2.4 Approches quantitatives par mod` eles probabilistes dynamiques . . . . . . 2.2.5 Les langages de mod elisation probabiliste . . . . . . . . . . . . . . . . . . 2.2.6 Tableau r ecapitulatif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Quelques techniques pour l evaluation en s ecurit e informatique . . . . . . . . . . . 2.3.1 R ef erentiels de conformit e et certications . . . . . . . . . . . . . . . . . . 2.3.2 Mod elisation et evaluation formelle de politiques de s ecurit e . . . . . . . 2.3.3 M ethodes qualitatives structur ees danalyse et de gestion de risque . . . . 2.3.4 Evaluation de la vuln erabilit e et tests de s ecurit e. . . . . . . . . . . . . . 2.3.5 Mod elisation graphique dattaque . . . . . . . . . . . . . . . . . . . . . . 2.3.6 Vue macroscopique des techniques de mod elisation graphique dattaque . 2.3.7 Tableau r ecapitulatif des techniques d evaluation en s ecurit e . . . . . . . Inspirations r eciproques et fertilisations crois ees . . . . . . . . . . . . . . . . . . . . . . . . 3.1 De la s uret e` a la s ecurit e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1 Concepts architecturaux . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.2 Formalismes graphiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.3 Analyses de risques structur ees . . . . . . . . . . . . . . . . . . . . . . . . 3.1.4 Techniques de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 De la s ecurit e` a la s uret e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 Du noyau de s ecurit e (security kernel ) au noyau de s uret e (safety kernel ) 3.2.2 Mod` eles formels pour les propri et es de s uret e . . . . . . . . . . . . . . . . 3.2.3 Vers plus de pr evention de fautes en s uret e . . . . . . . . . . . . . . . . . 3.2.4 Utilisation des misuse cases en s uret e . . . . . . . . . . . . . . . . . . . . 3.3 Un exemple dinuence mutuelle : niveaux SIL et niveaux EAL . . . . . . . . . . . 3.4 Synth` ese des fertilisations crois ees inventori ees . . . . . . . . . . . . . . . . . . . . ements de prospective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5 El 3.5.1 De la s ecurit e` a la s uret e . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.5.2 De la s uret e` a la s ecurit e . . . . . . . . . . . . . . . . . . . . . . . . . . . Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35 38 38 42 42 43 43 44 45 53 53 57 57 57 58 59 60 61 61 61 62 62 62 63 63 63 63 64 67 68 68 68 68 68 69 69 70 70 73 74 75 76 76 76 77 77 77 79 80 81 82 82 82 84 84

III Adaptation du formalisme BDMP au domaine de la s ecurit e 1 Revue critique des formalismes de mod elisation graphique dattaque . . . . . . . . . . . . 1.1 Consid erations pr eliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1 P erim` etre et objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.2 M ethodologie et cas dapplication . . . . . . . . . . . . . . . . . . . . . . 1.1.3 Crit` eres d evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ements de comparaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 El 1.2.1 Arbres dattaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.2 R eseaux bay esiens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.3 Diagrammes de misuse case . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.4 Les Dynamic Fault Trees comme variantes dynamiques des arbres dattaque 1.2.5 Mod` eles bas es sur les r eseaux de Petri, cas d etude en GSPN . . . . . . . 1.3 Synth` ese . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Mod elisation dattaques par les BDMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 De la s uret e de fonctionnement ` a la s ecurit e . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Origine et pr esentation g en erale des BDMP . . . . . . . . . . . . . . . . . 2.1.2 Les BDMP appliqu es ` a la s ecurit e . . . . . . . . . . . . . . . . . . . . . . 2.2 D enition formelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 Les composants dun BDMP . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2 Les trois familles de fonctions bool eennes du temps . . . . . . . . . . . . 2.2.3 Propri et es math ematiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.4 Les feuilles de base et leurs processus de Markov pilot es . . . . . . . . . . 2.3 Mod elisations el ementaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 Mod elisation de s equences . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2 Mod elisation dalternatives concurrentes ou exclusives . . . . . . . . . . . 2.4 Quantications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Quantications temporelles . . . . . . . . . . . . . . . . . . . . . . . . . .

2.4.2 Calculs par exploration de chemins . . . . . . . . . . . . . . . . . . . . . 2.4.3 Param etrage des feuilles . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.4 Quantications non-temporelles . . . . . . . . . . . . . . . . . . . . . . . 2.5 Analyse hi erarchique et passage ` a l echelle . . . . . . . . . . . . . . . . . . . . . . . 2.6 Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.6.1 Cas no 1 : attaque dun serveur dacc` es distant connect e par modem . . . 2.6.2 Cas no 2 : attaque hors-ligne dun chier prot eg e par mot de passe . . . . Int egration des aspects d efensifs : d etections et r eactions . . . . . . . . . . . . . . . . . . . 3.1 La d ecomposition IEFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Extension du cadre th eorique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 Int egration des d etections et des r eactions dans les processus de Markov pilot es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2 Propagation des r eactions . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Cas dapplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Analyse g en erale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 Etude de sensibilit e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ements de comparaison avec les autres formalismes . . . . . . . . . . . . . . . . . . . . . El 4.1 BDMP et arbres dattaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 BDMP et misuse cases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 BDMP et r eseaux bay esiens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 BDMP et DFT (Dynamic Fault Trees ) . . . . . . . . . . . . . . . . . . . . . . . . . 4.5 BDMP et r eseaux de Petri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6 Synth` ese sur les formalismes de mod elisation graphique dattaque . . . . . . . . . . Mise en uvre logicielle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Support : la plate-forme logicielle KB3 . . . . . . . . . . . . . . . . . . . . . . . . . 5.1.1 KB3, bases de connaissances Figaro et outils associ es . . . . . . . . . . . 5.1.2 Figseq et les algorithmes dexploration de chemins . . . . . . . . . . . . . 5.2 R ealisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 Une base de connaissances s ecurit e. . . . . . . . . . . . . . . . . . . . . . 5.2.2 Outils daide ` a lanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . Discussion, limites et perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1 Mod elisation stochastique des attaques . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 Pertinence du cadre markovien et des lois exponentielles . . . . . . . . . . 6.1.2 Autres lois et mod elisations du comportement de lattaquant . . . . . . . 6.1.3 Time to compromise et temps du compromis . . . . . . . . . . . . . . . . 6.2 Limites intrins` eques des BDMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 Perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.1 Vers les BDSP ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.2 Mise ` a prot du bool een de d etection pour les quantications . . . . . . . 6.3.3 Constitution dune biblioth` eque dattaques . . . . . . . . . . . . . . . . . 6.3.4 Int egration dextensions propos ees pour les arbres dattaque . . . . . . . 6.3.5 Th eorie des jeux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.6 Int egration avec dautres formalismes graphiques . . . . . . . . . . . . . . 6.3.7 Etude de sensibilit e et outils daide ` a lanalyse . . . . . . . . . . . . . . . 6.3.8 Application ` a dautres domaines . . . . . . . . . . . . . . . . . . . . . . . Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

84 86 86 87 88 88 90 100 100 100 101 105 105 105 106 108 108 108 108 109 109 110 111 111 111 111 112 112 112 113 113 113 114 114 115 116 116 116 116 116 117 117 117 117 118 119 120 120 120 121 121 122 122 122

IV Mod elisation et caract erisation des interd ependances s uret e-s ecurit e 1 Interd ependances entre s uret e et s ecurit e. . . . . . . . . . . . . . . . . . . . . 1.1 Caract erisation de la probl ematique . . . . . . . . . . . . . . . . . . . 1.2 Une cat egorisation macroscopique des interd ependances . . . . . . . . 1.2.1 Exemples et consid erations sur la d ependance conditionnelle 1.2.2 Exemples et consid erations sur le renforcement . . . . . . . . 1.2.3 Exemples et consid erations sur lantagonisme . . . . . . . . . 1.3 Des points de vue multiples . . . . . . . . . . . . . . . . . . . . . . . . 2 Etat de lart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

4 5

2.1 Contributions g en erales dordre organisationnel . . . . . . . . . . . . . . . . . 2.2 Contributions cibl ees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Utilisation de m ethodes formelles et model-checking . . . . . . . . . . . . 2.4 Utilisation de formalismes de mod elisation graphique . . . . . . . . . . . . . . Les BDMP comme formalisme int egrateur . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Consid erations pr eliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1 Hypoth` ese n ecessaire . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.2 Rappels sur les feuilles : s emantique, param` etres et repr esentations . 3.2 Cas d etude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Mod elisation des interactions entre s uret e et s ecurit e par les BDMP . . . . . 3.3.1 Mod` eles purs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 Mod` eles hybrides . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.3 Mod` eles int egr es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4 Caract erisation et comparaison de sc enarios par analyse quantitative . . . . . 3.4.1 Quantications et choix du r ef erentiel temporel . . . . . . . . . . . . 3.4.2 Application au cas d etude . . . . . . . . . . . . . . . . . . . . . . . Positionnement de la contribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vers une approche syst ematis ee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Un retour au cadre r ef erentiel SEMA . . . . . . . . . . . . . . . . . . . . . . . 5.2 Appui ` a lidentication des eets de bord . . . . . . . . . . . . . . . . . . . . Limites et perspectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1 Bis repetita placent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Am eliorations sp eciques aux mod` eles hybrides et int egr es . . . . . . . . . . . 6.3 Une contribution ` a int egrer avec dautres approches . . . . . . . . . . . . . . Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . .

122 123 124 124 124 125 125 125 125 126 126 126 126 128 128 128 132 133 133 133 134 134 136 136 136 137 141 143 147 149 151 177

Conclusion g en erale A Notes sur les r ef erentiels de conformit e et les certications en s ecurit e B Notes sur les mod` eles formels de politique de s ecurit e C Donn ees num eriques des etudes de sensibilit e Sigles et acronymes Bibliographie Index

Introduction
ements de contexte El
Lessor des technologies num eriques et la d er egulation du domaine electrique entra nent une mutation profonde de ses infrastructures. Ces evolutions se r epercutent directement sur les syst` emes informatiques en charge du contr ole et de la supervision de ses composants industriels tels que centrales de production ou r eseaux de distribution et de transport. Historiquement isol es et bas es sur des technologies propri etaires, ces syst` emes informatiques sinterconnectent, souvrent progressivement vers le monde bureautique, voire Internet, et sappuient de plus en plus sur des technologies standards, favorisant interop erabilit e et ` cot r eduction des co uts. A e dapports ind eniables, ces changements entra nent cependant de nouveaux risques de malveillance informatique. La prise en compte de ces nouveaux risques sinscrit dans une probl ematique plus large, reconnue et d esign ee internationalement par protection des infrastructures critiques (critical infrastructure protection ). La Commission europ eenne d enit ces derni` eres comme les installations physiques et de technologies de linformation, les r eseaux, les services et les actifs qui, en cas darr et ou de destruction, peuvent avoir de graves incidences sur la sant e, la s ecurit e ou le bien- etre economique des citoyens ou encore le travail des gouvernements des Etats membres [1]. Elles correspondent dans le cadre national aux Secteurs dActivit e dImportance Vitale (SAIV) [2, 3]. Leur protection contre la malveillance, et notamment contre le risque terroriste depuis les attentats du 11 septembre 2001, est devenue une priorit e au niveau national et international [1, 4, 5]. En particulier, les attaques informatiques constituent une pr eoccupation grandissante, compte tenu de la forte d ependance des infrastructures critiques aux syst` emes num eriques [6]. Si le syst` eme electrique est au cur de ces pr eoccupations, la num erisation du contr ole et de la supervision des installations industrielles, et louverture et linterconnexion des syst` emes informatiques associ es concernent aussi les autres secteurs industriels des SAIV (par exemple le secteur p etrolier, le transport a erien ou ferroviaire, lindustrie chimique, etc.). Pour faire face aux nouveaux risques de malveillance informatique, des mesures et architectures de s ecurit e sont graduellement mises en place [7, 8, 9]. Elles soul` event de nombreuses nouvelles probl ematiques li ees aux sp ecicit es de linformatique typique de ces environnements. La premi` ere dicult e est en fait dordre culturel et humain : la relative nouveaut e de la situation et le rythme consid erable des evolutions technologiques n ecessitent un investissement important des op erateurs de SAIV pour former et sensibiliser leur personnel ` a ces enjeux. En outre, leur conception historique fond ee sur lemploi de technologies conventionnelles ou de syst` emes num eriques isol es est un terreau fertile pour di erentes croyances erron ees entravant une posture de s ecurit e appropri ee 1 . Dautres dicult es sont plus techniques. Linformatique que nous qualions dindustrielle, cest-` a-dire directement impliqu ee dans le contr ole ou la supervision de processus industriels, poss` ede des caract eristiques et contraintes propres. Elles la distinguent nettement de linformatique habituellement rencontr ee dans les applications sans rapport direct avec le contr ole ou la supervision dun processus physique [11, 12] (que nous appellerons par la suite infor` titre dexemples, la dur matique g en erique). A ee de vie moyenne des syst` emes y est bien plus longue, certains automates etant install es pour plusieurs d ecennies ; leurs capacit es de traitement et de communication sont plus contraintes, notamment pour les composants les plus proches du proc ed e industriel ; ces derniers reposent sur des technologies sp eciques voire propri etaires, m eme si les standards Internet gagnent du terrain pour les composants de plus haut niveau ; arr ets et mises ` a jour des ces mat eriels sont extr emement d elicats : disponibilit e et int egrit e des syst` emes sont une priorit e.
1. Ind ependamment des travaux de cette th` ese, nous avons identi e les principaux mythes en la mati` ere dans [10], qui fournit de nombreux el ements de nature ` a rationaliser la situation.

Dans ce contexte, le passage dune approche uniquement p erim etrique, inadapt ee ` a la diversication et lintensication des echanges, vers une d efense en profondeur, coordonnant plusieurs lignes de protection y compris au plus proche du proc ed e, est d elicat. Technologies propri etaires, nouveaux standards, syst` emes h erit es (dits legacy ) et sur etag` ere (ou COTS, pour Commercial-O-The-Shelf ) se c otoient dans des architectures en pleine mutation, soumises ` a de fortes contraintes de ressources, de dur ee de vie, de performance et dordre r eglementaire. En particulier, dans le contexte des industries dites ` a risques (nucl eaire, chimie, p etrole, transport a erien, etc.), les syst` emes num eriques contribuent toujours plus directement ` a la s uret e des installations. Ils sont en eet d esormais non seulement incontournables pour leur pilotage et leur supervision, mais aussi impliqu es dans les fonctions de s uret e pr evenant les conditions accidentelles ou limitant leurs cons equences. Dans la dynamique pr ec edemment evoqu ee, ces syst` emes num eriques de s uret e sont eux aussi progressivement interconnect es et sexposent, malgr e toutes les pr ecautions prises dans ce contexte, ` a de nouveaux risques de s ecurit e informatique. La convergence denjeux de s ecurit e et de s uret e am` ene ` a consid erer les relations entre ces deux aspects, et les disciplines associ ees, sous un nouveau jour.

S uret e, s ecurit e et autres notions connexes

Cette th` ese sint eresse aux relations entre s uret e et s ecurit e, mais avant dexpliciter plus avant la probl ematique, arr etons-nous tout dabord sur les termes m emes de s uret e et s ecurit e . Objets de d enitions et demplois variant consid erablement selon les contextes, il convient en eet de pr eciser en premier lieu leur signication. Dans ce m emoire, apr` es lanalyse terminologique men ee dans le Chapitre I, nous adopterons les conventions 2 suivantes : la s uret e correspond de fa con g en erique ` a la d emarche, ainsi quaux m ethodes et dispositions associ ees, visant ` a limiter les risques de nature accidentelle, i.e. sans malveillance, etant susceptibles davoir des r epercutions sur lenvironnement du syst` eme consid er e. Nous d esignons ici par syst` eme lobjet de l etude, de toute taille et nature (logiciel, organisation, installation industrielle, etc.), et par environnement lensemble des autres entit es interagissant avec le syst` eme etudi e et dont les caract eristiques et le comportement sont g en eralement moins connus et hors de contr ole ; la s ecurit e correspond quant ` a elle ` a la d emarche, ainsi quaux m ethodes et dispositions associ ees, visant ` a limiter les risques de nature malveillante, i.e. provenant ou etant exacerb es par une volont e de nuire, ind ependamment de la nature de ses cons equences. Il peut donc sagir de s ecurit e physique comme de s ecurit e informatique. Si nous nous int eresserons plus particuli` erement a ce dernier aspect dans ce m ` emoire, nous n ecarterons pas pour autant la s ecurit e physique de nos consid erations. La s ecurit e informatique vise ` a se pr emunir des atteintes ` a lint egrit e (absence dalt erations ind esirables), la disponibilit e (fait d etre pr et ` a lutilisation pour les sollicitations autoris ees), ou la condentialit e (absence de divulgations ind esirables) des donn ees et des syst` emes impliqu es dans leur traitement informatique. De plus, an de mieux situer le sujet et les contributions de cette th` ese, il convient aussi de pr eciser une notion fr equemment associ ee ` a la s uret e et ` a la s ecurit e, et qui fait egalement lobjet de di erentes interpr etations. Pour une partie de la communaut e acad emique en informatique, s uret e et s ecurit e rel` event en eet de la s uret e de fonctionnement (dependability ) [14, 15, 16]. Dans cette conception, elle est d enie comme la propri et e permettant aux utilisateurs dun syst` eme de placer une conance justi ee dans le service quil leur d elivre. Une grande partie des concepts et de la taxonomie associ es ` a cette approche fait r ef erence et sav` ere pertinente pour la s ecurit e comme pour la s uret e telles que nous les avons d enies. Nous nous appuierons par exemple sur les termes commun ement admis de fautes, qui correspondent aux causes derreurs, etats du syst` eme susceptibles dentra ner des d efaillances, d eviations eectives dans le service attendu. Chacune de ces notions est nement cat egoris ee ; s uret e et s ecurit e sy re` etent en outre dans la distinction entre fautes malveillantes et fautes non-malveillantes (que nous appellerons fautes accidentelles). Plus largement, cette approche int` egre aussi la s ecurit e via les attributs de disponibilit e et dint egrit e, auxquels sajoute la condentialit e. Cependant, ` a la di erence de la s ecurit e, la s uret e y est
2. Compte tenu de la diversit e des d enitions existantes, celles propos ees ici ne peuvent en eet etre consid er ees que comme des conventions ; elles ne sont pas pour autant arbitraires car coh erentes avec lusage dans plusieurs domaines, dont notamment l electronucl eaire [13].

consid er ee comme un attribut de la s uret e de fonctionnement au m eme titre que la abilit e, la disponibilit e ou lint egrit e. Cette conception ne fait pas lunanimit e et nous semble sujette ` a caution dans le cadre dune analyse des relations entre s uret e et s ecurit e. La Commission electrotechnique internationale (CEI) d enit pour sa part la s uret e de fonctionnement comme lensemble des propri et es qui d ecrivent la disponibilit e et les facteurs qui la conditionnent : abilit e, maintenabilit e et logistique de maintenance [17]. Nous pr ef erons nous appuyer sur cette d ecomposition, qui a lavantage de rester neutre vis-` a-vis des concepts de s uret e et de s ecurit e. En outre, la s uret e est dune nature di erente, intrins` equement syst emique ; elle sappuie en partie sur les autres attributs et n emerge seulement qu` a une echelle globale [18, 19], au m eme titre que la s ecurit e. Cependant, si le concept de s uret e de fonctionnement nest pas susant pour caract eriser les relations entre s uret e et s ecurit e, ces notions gardent des relations etroites avec celui-ci. En eet, la s uret e dun syst` eme d epend de la s uret e de fonctionnement de fonctions (et des entit es les supportant) en charge d eviter les comportements dangereux ou de limiter leurs cons equences. De m eme, la s ecurit e dun syst` eme d epend de la s uret e de fonctionnement de fonctions de s ecurit e et des entit es assurant ce type de fonctions.

Probl ematique et objectifs de la th` ese

La th` ese d evelopp ee dans ce m emoire repose sur la conviction suivante : s uret e et s ecurit e doivent etre d ecloisonn ees. Dans les acceptions propos ees pr ec edemment, s uret e et s ecurit e correspondent ` a des probl ematiques longtemps consid er ees comme ind ependantes. Les disciplines associ ees ont historiquement evolu e de fa con s epar ee, concernant alors des syst` emes distincts [20, 21]. Elles partagent en fait de substantiels points communs, qui progressivement identi es, ont d ej` a permis diverses inspirations r eciproques, aussi bien dun point de vue m ethodologique que technologique ou architectural. Ainsi, la technique des arbres de d efaillances, formalisme graphique largement employ e dans les analyses de s uret e, a directement inspir e celle des arbres dattaque pour lanalyse de risques en s ecurit e [22]. Autre exemple, lapproche dite de d efense en profondeur, amenant ` a combiner plusieurs types de contre-mesures compl ementaires et ind ependantes, est aujourdhui devenue un principe fondamental en s ecurit e informatique [23] ; invent ee dans le domaine militaire, elle a dabord et e r eellement formalis ee et institutionnalis ee par lindustrie du nucl eaire ` a des ns de s uret e, o` u elle guide encore conception et exploitation des installations. Cependant, malgr e certains pas franchis, le rapprochement des disciplines et des communaut es est encore tr` es limit e. Le paysage normatif en fournit une illustration eloquente : s uret e et s ecurit e y font, sauf tr` es rares exceptions, lobjet de comit es d etude et de documents compl` etement s epar es. Globalement, le potentiel dinspiration r eciproque, bien quav er e, reste encore trop peu exploit e. Par ailleurs, la convergence des exigences et des mesures de s ecurit e et de s uret e sur les m emes syst` emes, impliqu ee par l evolution des menaces et des technologies, est un ph enom` ene r ecent et encore mal ma tris e. Il m` ene ` a des situations allant potentiellement du renforcement mutuel jusqu` a lantagonisme frontal [24, 25]. Un exemple simple [26] permet dillustrer ce dernier cas de gure : un syst` eme de fermeture de porte automatis ee pourra ainsi etre con cu pour laisser la porte ouverte en cas de panne selon des exigences de s uret e (comportement dit fail-safe, pour permettre une evacuation en cas de danger) ; il sera con cu pour verrouiller les portes dans le m eme cas en suivant des exigences de s ecurit e. Le m eme genre de conit se retrouve dans les architectures dinformatique industrielle, o` u par exemple, la mise en uvre de mesures dauthentication et de m ecanismes cryptographiques impliqu es par la s ecurit e informatique peut sav erer incompatible avec des contraintes de temps de r eponse des syst` emes ou des op erateurs, dict ees par des consid erations de s uret e. Ainsi, tout en cautionnant le rapprochement des communaut es et lint er et des travaux de fertilisation crois ee entre ces deux domaines, il devient egalement imp eratif de mieux caract eriser et mod eliser leurs interd ependances, quand s uret e et s ecurit e sappliquent sur les m emes syst` emes. Cette th ematique encore peu explor ee fait depuis quelques ann ees seulement lobjet dapproches structur ees. Elles sont encore tr` es macroscopiques [26, 27, 28, 29, 30], ou au contraire restreintes ` a lanalyse de syst` emes simples ou de situations sp eciques [31, 32, 33, 34]. De nouveaux outils et m ethodes sont n ecessaires pour appr ehender de fa con satisfaisante les interd ependances entre s uret e et s ecurit e : la ma trise des risques pesant sur les installations industrielles, mais aussi loptimisation des ressources en conception et en exploitation qui y sont consacr ees en d ependent.

Dans ce contexte, nos travaux ont poursuivi trois objectifs : pour commencer, le d ecloisonnement appel e de nos vux passe n ecessairement par une meilleure compr ehension r eciproque entre les communaut es s uret e et s ecurit e, entrav ee par la signication et lemploi changeants de ces termes. Aussi, il nous a paru essentiel de mieux circonscrire s uret e et s ecurit e sur le plan terminologique, puis dapporter un eclairage sur leurs grandes di erences et similarit es ; par ailleurs, bien que d ej` a identi e et exploit e ` a di erents egards, le potentiel de synergie entre ces domaines reste signicatif du point de vue m ethodologique. Nous avons voulu nous inscrire dans cette dynamique et contribuer aux activit es de fertilisation crois ee entre disciplines, moyen et b en ece direct du d ecloisonnement vis e; enn, nous avons tent e de contribuer ` a une meilleure caract erisation des interd ependances entre s uret e et s ecurit e, en vue dam eliorer la ma trise des cons equences de la convergence croissante des deux probl ematiques sur les m emes syst` emes.

Organisation du m emoire
Dans le Chapitre I, nous nous penchons sur la signication changeante des termes s ecurit e et s uret e. Nous proposons un nouveau cadre r ef erentiel d enomm e SEMA (Syst` eme-Environnement/MalveillantAccidentel) visant ` a r eduire lambigu t e de leur emploi et faciliter le dialogue entre communaut es h et erog` enes. Trois cas dapplication sont analys es : le domaine des r eseaux electriques, la production electronucl eaire et le secteur des t el ecommunications et r eseaux de donn ees. SEMA rend explicite les di erences de signication des mots s uret e et s ecurit e pour chaque domaine et met en exergue les recouvrements et incoh erences de certaines d enitions. Le Chapitre II s eloigne des consid erations terminologiques pour chercher ` a circonscrire sur le fond s uret e et s ecurit e. Il identie et commente leurs di erences et similarit es les plus structurantes, puis brosse un panorama de leurs outils respectifs d evaluation. Les adaptations fructueuses dun domaine ` a lautre y sont enn inventori ees, conrmant ` a la fois le bien-fond e et le potentiel cons equent de telles d emarches. Le Chapitre III sinscrit dans cette logique en exposant comment nous avons adapt e les BDMP (Boolean logic Driven Markov Processes ), un formalisme graphique employ e dans les etudes de s uret e, au domaine de la s ecurit e. Le fruit de cette adaptation est une technique de mod elisation dattaque orant un compromis original et avantageux entre lisibilit e, pouvoir de mod elisation et capacit es de quantication. Elle permet de capturer des aspects dynamiques tels que s equences, d etections et r eactions, sous une forme proche des arbres dattaque qui ne peuvent pour leur part les prendre en compte. Le traitement des mod` eles BDMP, une fois param etr es dans le cadre dune analyse de risques, fournit des informations qualitatives et quantitatives pour hi erarchiser menaces et contre-mesures. Le Chapitre IV met ` a prot cette adaptation pour caract eriser les situations dans lesquelles consid erations de s uret e et de s ecurit e doivent etre prises en compte conjointement. Lint er et des BDMP pour mod eliser la diversit e des interd ependances entre s uret e et s ecurit e est soulign e ` a travers un cas d etude simple. La place de cette approche est pr ecis ee vis-` a-vis de l etat de lart : compl ementaire ` a lexistant, plusieurs perspectives de d eveloppement intrins` eque mais egalement dint egration avec dautres techniques sont d ecrites. Finalement, la Conclusion G en erale rappelle les principales contributions d evelopp ees dans le m emoire, fait le bilan des recherches eectu ees vis-` a-vis de la probl ematique et des objectifs de la th` ese et pr esente les perspectives ouvertes par ces travaux.

Chapitre I

SEMA, un r ef erentiel pour di erencier les termes s uret e et s ecurit e

Quand jemploie un mot, dit Humpty Dumpty avec un certain m epris, il signie ce que je veux quil signie, ni plus ni moins. La question est de savoir, dit Alice, si vous pouvez faire que les m emes mots signient tant de choses di erentes. La question est de savoir, dit Humpty Dumpty, qui est le ma tre, cest tout. (Lewis Caroll, De lautre c ot e du miroir, 1871.)

urete et s ecurit e ont des signications tr` es variables selon le contexte. Le seul secteur de lindusS trie electrique permet dillustrer une telle situation : ainsi, pour ling enieur du r eseau de transport electrique, le terme s ecurit e renverra g en eralement ` a la capacit e du r eseau ` a tol erer des perturbations type court-circuit ou perte dun composant sans rupture de service aux usagers [35], alors que pour celui du domaine nucl eaire, il sagira principalement de protection contre la malveillance [13]. Le terme s uret e aura aussi des signications di erentes. Ainsi, au sein dun m eme secteur industriel, la multiplicit e des acteurs et des disciplines ding enierie impliqu ees entra ne diverses acceptions et utilisations des termes s uret e et s ecurit e. Evidemment, la situation ne sam eliore pas quand des parties prenantes issues dindustries distinctes echangent sur ces deux notions. Bien que centrales pour toutes les industries ` a risques, la signication des mots s uret e et s ecurit e varie donc consid erablement selon leur contexte, alimentant equivoques et incompr ehensions. Dans ce chapitre, nous proposons un nouvel outil conceptuel d enomm e SEMA (Syst` eme-Environnement / Malveillant-Accidentel) [36, 37] qui ore un cadre de r ef erence positionnant les termes s ecurit e et s uret e lun par rapport ` a lautre selon leur contexte dutilisation. Il vise ` a rendre explicite les di erences de signication souvent cach ees derri` ere lutilisation de ces mots en apparence anodins, mais en fait profond ement polys emiques. De plus, les eventuelles incoh erences ou recouvrements des d enitions existantes peuvent y etre soulign es. Apr` es avoir caract eris e la confusion terminologique de la situation, la Section 1 se concentre sur lidentication de di erences discriminant lemploi de mots s ecurit e et s uret e. Elle sappuie sur une analyse bibliographique approfondie. La Section 2 d eveloppe cette piste en pr esentant la contribution principale de ce chapitre, le cadre de r ef erence SEMA. La Section 3 d eveloppe di erents cas dutilisation permettant de mieux comprendre lint er et et le fonctionnement de SEMA. Lusage des mots s uret e et s ecurit e y est egalement pr ecis e et x e par convention pour le reste de ce m emoire. Enn, la Section 4 evoque di erentes perspectives dam elioration.

1
1.1

Di erents usages et distinctions entre s uret e et s ecurit e

Une situation tr` es confuse

Etymologiquement, s uret e et s ecurit e partagent une m eme racine latine, securitas, et lexamen des d enitions propos ees par les principaux dictionnaires, ` a commencer par le Larousse et le dictionnaire de lAcad emie fran caise, ne permet pas de distinguer clairement ces deux notions. Le Littr e va m eme jusqu` a proposer le terme s ecurit e comme une de ses d enitions de s uret e. H elas, la litt erature scientique et le corpus normatif n eclaircissent pas la situation : ils orent une surprenante diversit e de d enitions. En fait, il est possible den distinguer plusieurs dizaines [38, 21], variant par de simples nuances jusqu` a de totales inversions selon les sources consid er ees. La Section 3 analyse en d etail plusieurs exemples. En plus de cette diversit e, des pi` eges linguistiques aggravent la situation. En eet, comme notamment remarqu e dans [39, 21], certaines langues ne poss` edent quun seul mot pour s uret e et s ecurit e. Si lon se limite ` a l echelle europ eenne, cest par exemple le cas de lespagnol (seguridad ) ou du portugais (seguran ca ), mais aussi du su edois (s akerhet ) ou du danois (sikkerhed ). A contrario, dautres langues distinguent comme en fran cais deux mots ; cest notamment le cas de langlais (safety et security ). Par ailleurs, m eme entre langues utilisant deux mots distincts, le passage de lune ` a lautre reste probl ematique. Dune part, la fronti` ere entre les deux termes nest pas toujours la m eme selon les langues, dautre part, les traductions dune langue ` a lautre ne sont pas syst ematiques. On peut ainsi aboutir ` a des traductions invers ees selon les secteurs : le terme anglais safety est par exemple directement traduit en fran cais par s uret e dans le nucl eaire [13], alors que lOrganisation internationale de normalisation (ISO) traduit safety par s ecurit e dans de nombreux autres secteurs [40]. Le m eme constat sapplique au terme security, traduit alternativement par s uret e ou s ecurit e selon le contexte. An de contourner ces pi` eges, les chercheurs du LAAS 1 pr ef` erent m eme eviter le terme s uret e et emploient s ecurit e-innocuit e pour d esigner labsence de cons equences catastrophiques pour lenvironnement (en traduction de safety ) et s ecurit e-immunit e pour d esigner lassociation ` a la condentialit e, la pr eservation de lint egrit e et de la disponibilit e vis-` a-vis des actions autoris ees (en traduction de security ) [41, 42]. NB : Par convention, nous emploierons dans ce chapitre les mots s ecurit e et s uret e comme traductions syst ematiques des termes anglais security et safety tels quutilis es dans les r ef erences examin ees, sans consid eration pour leurs signications. Cette approche a pour but dam eliorer dans notre cadre coh erence et lisibilit e. Une fois les analyses men ees, lemploi des termes s uret e et s ecurit e en fran cais est arr et e en n de chapitre pour le reste du m emoire.

1.2

Raisonner par distinction

Dans une telle situation, il semble vain de chercher des d enitions g en eriques et consensuelles ; il sav` ere en fait plus constructif de changer de perspective et de nous int eresser aux distinctions entre les deux concepts. 1.2.1 Sources utilis ees

Dans cette d emarche, nous nous sommes appuy es sur lanalyse : de pr ec edents panoramas et etats de lart etablis par la communaut e acad emique sur les notions de s uret e et de s ecurit e. Au nal, huit r ef erences ont et e retenues pour leur pertinence vis-` a-vis de la probl ematique de discrimination entre s uret e et s ecurit e. Elles sont pr esent ees dans la Table I.1 ; de normes g en eriques et sectorielles, r eglementations et guides de mise en uvre utilis es par lindustrie sur les probl ematiques de s ecurit e et de s uret e. La Table I.2 regroupe les documents consid er es dans cette etude par secteur et par th ematique ; la Figure I.1 illustre leur r epartition sectorielle. Les documents ont et e s electionn es vis-` a-vis de leur visibilit e dans leur secteur dactivit e, sur la base de lexp erience de lauteur pour ceux relevant de lindustrie electrique (nucl eaire et r eseaux electriques),
1. Laboratoire dAnalyse et dArchitecture des Syst` emes (LAAS, http://www.laas.fr) du CNRS (Centre National de la Recherche Scientique).

Table I.1 R ef erences acad emiques examin ees

Date 1986 1992 1994 Auteurs N. Leveson A. Burns, J. McDermid et J. Dobson J. Rushby R ef. [18] [39] [43] Pertinence Etat de lart sur la s uret e logicielle. En Section 4 de larticle, discussion des di erences entre abilit e, s uret e et s ecurit e. Article constatant lambigu t e entre s uret e et s ecurit e. Proposition dune distinction entre les deux concepts. Etat de lart exposant les approches historiquement s epar ees de la s uret e de fonctionnement (dependability ), de la s uret e et de la s ecurit e. Rapport d ecrivant une taxonomie formalis ee en UML des concepts communs a ` la s ecurit e, la s uret e et a ` la survivabilit e. Indique une distinction claire entre s uret e et s ecurit e. Article compl etant et mettant ` a jour une taxonomie promue par J.C. Laprie d` es les ann ees 80. Centr ee sur la notion de s uret e de fonctionnement (dependability ), s uret e et s ecurit e y sont int egr ees dans un m eme cadre (cf. Intro. G en erale). Etat de lart sur les techniques d evaluation de dependability et de s ecurit e` a base de mod` eles. D enitions implicites. Papier de conf erence comparant s uret e et s ecurit e sous divers angles. Proposition dune distinction claire et explicite. Article comparant les concepts de s uret e de fonctionnement, tol erance de fautes, abilit e, s ecurit e et survivabilit e. Une taxonomie est propos ee pour chaque concept.

2003

D. G. Firesmith

[44]

2004

A. Avizienis, J.-C. Laprie, B. Randell et C. Landwehr

[16]

2004 2006 2009

D. M. Nicol, W. Sanders et K. S. Trivedi M. B. Line, O. Nordland, L. Rstad, et I. A. Tndel M. Al-Kuwaiti, N. Kyriakopoulos et S. Hussein

[45] [21] [46]

de la s ecurit e de linformatique industrielle et de linformatique g en erique ; par recherche bibliographique pour les autres. Ont et e prises en compte notamment de nombreuses r ef erences issues dorganismes de normalisation tels que la Commission electrotechnique internationale (CEI ou IEC, pour International Electrotechnical Committee ), lOrganisation internationale de normalisa tion (ISO), ou sur le plan national, pour les Etats-Unis par exemple, le NIST (National Institute of Standards and Technology ) ou lANSI (American National Standards Institute ). Les agences des Nations-unies, telles que lAIEA (Agence internationale de l energie atomique, IAEA en anglais) ou lICAO (International Civil Aviation Organization ) produisent egalement une documentation pertinente, consid er ee dans lanalyse. Par ailleurs, certaines associations industrielles sectorielles ont une inuence signicative et sont ` a lorigine de nombreux documents de r ef erence et standards de fait : cest le cas au niveau international avec, par exemple dans la eronautique, lAssociation internationale du transport a erien (ou IATA, pour International Air Transport Association ), la RTCA (Radio Technical Commission for Aeronautics ) ou son equivalent europ een EuroCAE (European Organization for Civil Aviation Equipment ) ; au niveau national, on peut citer pour le secteur p etrolier lOLF (Oljeindustriens Landsforening ) en Norv` ege ou lAPI (American Petroleum Institute ) aux Etats-Unis. De plus, agences gouvernementales et minist` eres emettent egalement des normes, recommandations et guides de mise en uvre dans le domaine de la s ecurit e et de la s uret e : cest le cas notamment aux Etats-Unis du d epartement de ladministration f ed erale d edi e` a la s ecurit e du territoire, le DHS (Department of Homeland Security ), mais egalement du d epartement de la d efense (DoD, Department of Defense ) ou de la NRC (Nuclear Regulatory Commission ) ayant autorit e dans le domaine nucl eaire. Enn, certains textes ` a caract` ere l egislatif ou ex ecutif ont egalement et e consid er es : e.g. directives pr esidentielles ou extraits du code f ed eral (not es CFR pour Code of Federal Regulations ) aux Etats-Unis, r eglementations de la Commission europ eenne (not ees EC). Dune mani` ere g en erale, la repr esentativit ea et e privil egi ee sur lexhaustivit e, aussi, certains secteurs nont pas et e pris en compte (e.g. automobile, eau, m edical), dautres lont et e tr` es partiellement (e.g. militaire, ferroviaire). Enn, certains documents relevant de la s ecurit e nont pu etre consult es faute dhabilitation appropri ee, comme par exemple dans le domaine de laviation civile, le IATA Security Manual [47] ou encore celui de lICAO [48]. Au total, 89 documents ont et e retenus et analys es. Dans tous les cas, nous nous sommes int eress es a la s ` uret e et ` a la s ecurit e des syst` emes et installations physiques et informatiques, sans distinction.

Table I.2 Documents analys es (non acad emiques)

Secteur Electronucl eaire R ef erences s ecurit e (security ) Internationales : Manuel de r ef erence AIEA (version pr eliminaire) [49] IEC 62645 (version pr eliminaire) [52] Nationales : (Etats-Unis) R eglementations f ed erales 10 CFR 73 [55] (Etats-Unis) Guide NRC RG1.152 [57] (Etats-Unis) Guide NRC RG5.71 [60] (Etats-Unis) Norme IEEE 692-2010 [63] (Cor ee) Guide KINS/GT-N09-DR [64] Internationales : IEC 62351 [67] R egionales : (Am erique du Nord) Standards NERC CIP [69] (Europe) Manuel UCTE [35] Nationales : (Etats-Unis) NIST IR 7628 (version pr eliminaire) [70] (Etats-Unis) IEEE1402-2000 [71] (Etats-Unis) IEEE1686-2007 [72] (Etats-Unis) IEEE1711(version pr eliminaire) [73] R egionales : (Europe) R eglementation (EC) 2320/2002 [74] Nationales : (Etats-Unis) NSPD 47/HSPD 16 [77] R ef erences s uret e (safety ) Internationales : S erie s uret e AIEA (SF-1 [50], NS-G-1.1 [51], NS-G-1.3 [53], NS-R-1 [54]) Glossaire AIEA [13] Rapport AIEA 75-insag-3 [56] Normes IEC du SC45A (61513 [58], 61226 [59], 60880 [61], 62138 [62]) Nationales : (Etats-Unis) Guide NRC RG1.152 [57] Normes ANSI/IEEE 603-1998 [65] et 7-4.3.2 [66] R egionales : (Am erique du Nord) NERC Reliability Standards [68]

R eseaux electriques

A eronautique / Aviation civile

Ferroviaire

Nationales : (Etats-Unis) 49 CFR parties 1520 et 1580 [81] Nationales : (Etats-Unis) 14 CFR parties 1203, 1203a, 1203b [84, 85, 86] (Etats-Unis) NASA EA-STD 0001.0 [88] (Etats-Unis) NASA NPR 1600.1 [89] Nationales : (Norv` ege) OLF Guide 104 [91] (Etats-Unis) API 1164 [93]

Spatial

P etrole et gaz

Chimie

Militaire

Nationales : (Etats-Unis) 6 CFR Partie 27 [100] (Etats-Unis) DHS CFATS (incl. RBPSG) [102] Internationales : Glossaire OTAN AAP-6(2009) [103]

Internationales : ICAO Doc 9735 [75] RTCA DO-178B / EuroCAE ED12 B [76] R egionales : (Europe) EuroControl ESARRs [78, 79] (Europe) R eglementation (EC) 216/2008 [80] Internationales : IEC 62278 [82] IEC 62279 [83] R egionales : (Europe) ECSS-P-001B [87] Nationales : (Etats-Unis) NASA-STD-8719.13B [90] Internationales : ISO 10418 [92] ISO 13702 [94] ISO 17776 [95] Nationales : (Norv` ege) NORSOK S-001 [96] et I-002 [97] (Norv` ege) OLF Guide 70 [98] et 90 [99] Nationales : (Etats-Unis) Glossaire AIChE/CCPS [101] Internationales : Glossaire OTAN AAP-6(2009) [103] ARMP-7 ed.1 [104] Nationales : (Etats-Unis) DoD MIL-STD-882D [105] (Royaume-Uni) MoD DEF Stan 00-56 [106, 107] Internationales : IEC 61508 [110]

Informatique industrielle (non sectorielle)

Informatique G en erique (non sectorielle)

G en erique

Internationales : S erie de normes IEC 62443 [108, 109] Nationales : (Etats-Unis) NIST SP 800-82 [11] (Etats-Unis) NIST SP 800-53 (annexe I) [111] (Etats-Unis) ANSI/ISA99 00.01 [112] (Royaume-Uni) CPNI SCADA GPG [113] Internationales : ISO/IEC 27000, 27001 [114, 115] ISO/IEC 27002, 27005 [117, 118] ISO/IEC 13335-1 [119] IETF RFC 4949 [120] IUT-T X.1051 [121] Nationales : (Etats-Unis) NIST FIPS 199 [122] NIST IR 7298 [123] Glossaire IAG de la NSA [124] Internationales : ISO/IEC Guide 81 (version pr eliminaire) [125]

Internationales : IEC 60950 [116]

Internationales : ISO/IEC Guide 51 [40] et Guide 2 [126] IEC 60050-191 [17]

Acadmique

4 11
6

Nuclaire

Rseaux lectriques
Aronautique 20 Ferroviaire

Spatial 4 3
9 7 8

Ptrole et gaz
Chimie

Militaire Informatique industrielle

Informatique gnrique

Gnral

Figure I.1 R epartition sectorielle des documents analys es 1.2.2 Analyse g en erique

Seulement 14 r ef erences comportent des d enitions du mot s uret e et du mot s ecurit e (nous incluons les d enitions des notions contextualis ees au secteur de la r ef erence consid er ee : e.g. information security, nuclear security, etc.). La Figure I.2 page suivante indique la r epartition de ces r ef erences par secteur industriel consid er e. Parmi ces 14 r ef erences : seules trois proposent des d enitions des termes s uret e et s ecurit e permettant de di erencier ces notions de fa con claire et exclusive. Larticle de Line et al. (2006) [21] et le rapport de Firesmith (2003) [44] le font de fa con explicite. Larticle de Burns et al. [39] le fait de fa con plus indirecte, en indiquant comme d enitions discriminantes de s ecurit e et s uret e celles en fait de safety critical system et de security critical system. La Table I.3 pr esente ces trois propositions particuli` erement pertinentes pour notre etude ; les 11 autres documents donnent des d enitions de s uret e et s ecurit e clairement non-disjointes. Certaines r ef erences le reconnaissent explicitement [13], la grande majorit e ne le souligne pas. Dans certains cas, le recouvrement des d enitions peut etre particuli` erement important : pour au moins trois des 11 documents, la d enition donn ee de la s uret e peut inclure la s ecurit e [108, 112, 101] (pour les deux premiers, Safety : freedom from unacceptable risk ), pour deux dentre eux, la d enition de la s ecurit e peut inclure la s uret e [46, 112].

Table I.3 Les seules d enitions discriminantes de s ecurit e et s uret e dans le corpus etudi e
R ef. Line et al. (2006) [21] Safety The inability of the system to aect its environment in an undesirable way.
(Incapacit e du syst` eme a ` nuire a ` son environnement.)

Security The inability of the environment to aect the system in an undesirable way.
(Incapacit e de lenvironnement a ` nuire au syst` eme.)

Firesmith (2003) [44]

The degree to which accidental harm is prevented, reduced, and properly reacted to.
(Le degr e de pr evention, de r eduction et de r eaction appropri e vis-` a-vis dun dommage accidentel.)

The degree to which malicious harm is prevented, reduced, and properly reacted to.
(Le degr e de pr evention, de r eduction et de r eaction appropri e vis-` a-vis dun dommage malveillant.)

Burns et al. (1992) [39]

A system is judged to be safety-critical in a given context if its failure could be sucient to cause absolute harm.
(Un syst` eme est jug e critique pour la s uret e dans un contexte donn e si sa d efaillance est susante pour causer un dommage absolu.)

A system is judged to be security-critical in a given context if its failure could be sucient to cause relative harm, but never sufcient to cause absolute harm.
(Un syst` eme est jug e critique pour la s ecurit e dans un contexte donn e si sa d efaillance est susante pour causer un dommage relatif, mais ne lest jamais pour causer un dommage absolu.)

25 Nombre de rf. avec dfinitions de sret et scurit

20 Nombre de rf. sans double dfinition 15 10 5 0

Figure I.2 R epartition des r ef erences avec d enitions des termes s uret e et s ecurit e par secteur Plus globalement sur les 89 documents etudi es, 12 r ef erences donnent une ou des d enitions des mots s uret e et/ou s ecurit e avec des recouvrements particuli` erement importants (on y retrouve les r ef erences mentionn ees dans le point pr ec edent) : [40, 82, 101, 96, 105, 108, 112, 126] d enissent la s uret e dans des termes si larges quils permettent une interpr etation pouvant inclure la plupart des d enitions de la s ecurit e; [127, 112, 118, 119] d enissent la s ecurit e dans des termes qui permettent une interpr etation incluant la s uret e. Enn, 40 de ces documents ne donnent pas directement de d enitions explicites de leur propre th ematique dominante (i.e. s uret e ou s ecurit e). Ceci-dit : dune part, cette carence est parfois due ` a un renvoi vers un autre document, de type glossaire ou document de plus haut niveau dans la hi erarchie normative, qui donne la d enition manquante (e.g. s erie des documents s uret e AIEA) ; dautre part, de nombreux termes connexes (tels que risque, menace, dommage, etc.) sont souvent d enis, et permettent de circonscrire implicitement la signication de s uret e ou s ecurit e. 1.2.3 ements danalyse lexicale El

En compl ement de lanalyse macroscopique des d enitions de s uret e et s ecurit e relev ees dans le corpus examin e, nous avons proc ed e ` a un examen lexical de leur contenu. Lobjectif etait de faire emerger ou souligner les dominantes th ematiques associ ees ` a chaque terme, et caract eriser certaines di erences rendues eventuellement plus visibles par une analyse lexicale automatis ee. Une telle analyse nous am` ene aux constats suivants : les d enitions du mot s uret e emploient au total 211 mots di erents, celles de s ecurit e environ le double (411 mots). Il y a plusieurs interpr etations possibles ; les deux suivantes, non exclusives, nous paraissent les plus pertinentes : le terme s uret e b en ecie dun plus grand consensus (comme soulign e aussi dans [21]), la d enition du terme s uret e est souvent plus g en erale, et ne n ecessite donc pas de vocabulaire sp ecique au secteur consid er e;

10

 la Table I.4 donne le classement par nombre doccurrences des mots employ es dans les d enitions de s uret e et s ecurit e issues du corpus etudi e 2 . Pour des raisons de pertinence danalyse, nous ne faisons appara tre que les mots ayant au moins trois occurrences pour les d enitions de s uret e, et quatre pour les d enitions de s ecurit e. Nous pouvons alors constater que : les d enitions de la notion de s uret e privil egient le registre lexical de laccident et des d eg ats physiques (utilisations r ep et ees de damage, harm, injury, catastrophic, equipment ). On remarque aussi lappel fr equent ` a la notion denvironnement, absente des d enitions de s ecurit e. Cette absence est ` a mettre en relation avec lutilisation du mot system, faite de fa con quasiment egale au singulier et au pluriel dans les d enitions de security, alors que seul le singulier est employ e dans les d enitions de safety. System peut alors etre mis directement en opposition a la notion denvironment, ` les d enitions du terme s ecurit e sappuient quant ` a elles largement sur le registre lexical de la malveillance et de laction volontaire (cf. utilisation des termes unauthorized, access, against, sabotage, achieving, actions, malicious...), avec des sp ecicit es principalement dues au domaine de la s ecurit e informatique (e.g. r ep etition des mots condentiality, integrity, availability ). Ainsi, et de fa con remarquable, lanalyse lexicale corrobore bien les approches d ecrites dans les trois seules r ef erences identi ees permettant de distinguer explicitement s uret e et s ecurit e [21, 44, 39] (cf. Section 1.2.2 et Table I.3), soulignant ` a la fois leur pertinence et leur l egitimit e, mais egalement la dicult e de privil egier lune par rapport aux autres. 1.2.4 Synth` ese et proposition

Nous avons entrepris lanalyse pr ec edemment d ecrite dans le but didentier les limites, mouvantes, des notions de s uret e et de s ecurit e, et mieux caract eriser ce qui les distingue. Sur la base des r ef erences consid er ees et des el ements danalyse discut es, nous proposons de retenir deux distinctions alternatives, en droite ligne avec les d enitions donn ees respectivement par Line et al. et par Firesmith (nous ne retenons pas celles de Burns et al., qui ne portent pas explicitement sur les termes s uret e et s ecurit e, et reposent sur des crit` eres de distinction plus subjectifs). Toutes deux distinguent s ecurit e et s uret e selon les caract eristiques du risque, la premi` ere en termes dorigine et de champ de r ealisation des cons equences, la seconde en termes de cause, ou plus pr ecis ement dintention. Elles se d enissent comme suit : la premi` ere, que nous appellerons S-E, sappuie sur une distinction Syst` eme vs Environnement. Nous d esignons par Syst` eme lobjet de l etude, de toute taille et nature (logiciel, organisation, installation industrielle, etc.), et par Environnement lensemble des autres syst` emes interagissant avec le syst` eme etudi e et dont les caract eristiques et le comportement sont g en eralement moins connus et hors de contr ole. Dans S-E, la s ecurit e concerne les risques provenant de lenvironnement, et dont les cons equences potentielles concernent le syst` eme consid er e ; la s uret e concerne r eciproquement les risques provenant du syst` eme, et dont les cons equences potentielles concernent lenvironnement ; la seconde, que nous appellerons M-A, sappuie sur une distinction Malveillant vs Accidentel. Par Accidentel, nous entendons associ e` a des ev enements arrivant de fa con inattendue et sans intention de nuire. Dans cette approche, les risques de nature malveillante rel` event de la s ecurit e, alors que les risques accidentels rel` event de la s uret e. Ces distinctions correspondent ` a des abstractions, et ne sont pas rigoureusement mises en uvre dans le corpus analys e. Dune part, 75 r ef erences sur les 89 analys ees ne peuvent par nature y etre conformes, ne d enissant pas conjointement s uret e et s ecurit e. Quant aux 14 documents les d enissant dautre part, bien peu proposent des d enitions disjointes et clairement discriminantes, comme indiqu e en Section 1.2.2. Toutefois, la grande majorit e des d enitions de s uret e et de s ecurit e consid er ees individuellement peuvent etre associ ees ` a une de ces deux distinctions, selon leur prise en compte de lorigine du risque, du champ de r ealisation de ses cons equences potentielles, et de son intentionnalit e.
2. Ces etudes textuelles ont et e eectu ees gr ace au logiciel libre (GNU) TextStat 3.0.

11

Table I.4 Classement des mots les plus utilis es dans les d enitions de s uret e et de s ecurit e
D enitions s ecurit e Mot Occurrences information 25 system 25 systems 24 unauthorized 19 access 15 availability 13 integrity 13 condentiality 12 persons 11 against 9 measures 9 protect 9 data 8 condition 7 control 7 reliability 7 accountability 6 authenticity 6 critical 6 disclosure 6 loss 6 protection 6 sabotage 6 achieving 5 actions 5 aspects 5 cyber 5 dening 5 denied 5 destruction 5 harm 5 maintaining 5 modify 5 provide 5 repudiation 5 software 5 acts 4 authorised 4 cause 4 ensure 4 interference 4 malicious 4 safety 4 unwanted 4

D enitions s uret e Mot Occurrences system 17 risk 15 damage 14 environment 13 freedom 11 harm 11 unacceptable 9 property 7 injury 5 acceptable 4 level 4 catastrophic 3 cause 3 conditions 3 consequences 3 equipment 3 illness 3 operating 3

12

Env. Systme

Systme Env.

Malveillant

Scurit S-E & M-A

Accidentel

Sret S-E & M-A

Figure I.3 Repr esentation graphique du croisement de S-E et M-A 1.2.5 Croisement des distinctions S-E et M-A

Une fois les distinctions S-E et M-A etablies, il est alors possible danalyser les cons equences de leur cohabitation. Elle est en eet repr esentative denvironnements multidisciplinaires et multiculturels, typiques des grands syst` emes industriels o` u diverses appr ehensions des termes s uret e et s ecurit e coexistent. La Figure I.3 repr esente graphiquement la superposition des deux distinctions. Elles ne sont heureusement pas compl` etement incompatibles : il est en eet possible de d enir des sous-domaines associ es de fa con consensuelle ` a la s ecurit e ou ` a la s uret e. Ils correspondent aux quadrants num erot es 1 et 3. Ainsi, un risque de nature malveillante emanant de lenvironnement et pesant sur le syst` eme est g en eralement associ e` a la s ecurit e, indistinctement du contexte ou de la communaut e consid er ee. De m eme, un risque accidentel provenant du syst` eme et mena cant lenvironnement sera tr` es largement vu comme relevant de la s uret e. H elas, les deux autres quadrants de la Figure I.3 ne peuvent pas etre li es sans ambigu t e` a la notion de s uret e ou de s ecurit e : ce qui semblera relever de la s ecurit e pour certains rel` evera de la s uret e pour dautres, et r eciproquement. En somme, la Figure I.3 illustre le clair potentiel dincompr ehension et d equivoque lorsque S-E et M-A sont utilis ees en m eme temps. Mais elle sugg` ere egalement quil est possible de d ecomposer les notions g en eriques de s uret e et de s ecurit e en sous-notions epousant le contour des distinctions S-E et M-A, qui donnent le nom ` a lapproche pr esent ee dans la suite de ce chapitre : SEMA.

2
2.1

Le cadre r ef erentiel SEMA

Description

Sur la base des analyses de la Section 1, nous avons con cu un cadre r ef erentiel d enomm e SEMA, qui permet de prendre en compte les distinctions S-E et M-A de fa con int egr ee. SEMA se veut etre un outil neutre permettant de faciliter la communication et la compr ehension mutuelle quand les notions de s ecurit e et s uret e sont en jeu. Il nomme explicitement les sous-notions d elimit ees par les quadrants de la Figure I.3, augment es par une dimension capturant les impacts Syst` eme sur Syst` eme compl etant lanalyse (par d enition, les aspects Environnement sur Environnement sont par contre exclus). Ce cadre est repr esent e dans la Figure I.4. Il d ecoupe s uret e et s ecurit e en six sous-notions distinctes, d esign ees en anglais par Defense, Safeguards, Self-Protection, Robustness, Containment Ability et Reliability. Notons que bien que potentiellement traduisible en fran cais, nous pr ef erons conserver la terminologie anglaise qui seule a pu b en ecier de retours et danalyses ext erieures par le biais des publications et d ebats associ es ` a ce r ef erentiel [128, 36, 37]. Les termes choisis pour les sous-notions se veulent s emantiquement moins ambigus que les termes g en eriques safety et security. La Table I.5 r esume et compl` ete la description de SEMA.

13

Env. Systme

Systme Env.

Systme Systme

Malveillant

Defense

Safeguards

Self-protection

Accidentel

Robustness

Containment Ability

Reliability

Figure I.4 Le cadre de r ef erence SEMA Table I.5 Les six sous-notions de SEMA
Sous-notion SEMA Defense Safeguards Self-Protection Robustness Containment Ability Reliability Risque couvert M-A S-E Intention Origine Cible Malveillant Malveillant Malveillant Accidentel Accidentel Accidentel Env. Syst` eme Syst` eme Env. Syst` eme Syst` eme Syst` eme Env. Syst` eme Syst` eme Env. Syst` eme Remarques

Terminologie militaire et g en erale Terme adapt e du domaine industriel Protection contre les menaces internes Employ e di eremment dans des travaux r ecents [44] mais consid er e comme explicite Terminologie g en erale Coh erent avec les standards internationaux

2.2

Utilisation, pertinence et limites de SEMA

Lobjectif de SEMA et de ses sous-notions nest evidemment pas de remplacer les termes s uret e et s ecurit e. Ils sont bien trop historiquement et culturellement implant es, associ es aux multiples signications pr ec edemment discut ees. SEMA vise ` a faciliter l etablissement dune compr ehension mutuelle lorsque des communaut es disparates echangent sur ces notions, chacune inuenc ee dans leur compr ehension des termes s uret e et s ecurit e par leurs r ef erences et sch emas de pens ee. SEMA constitue alors un outil pratique pour dessiner explicitement les contours de leur signication, sur la base des six zones de la Figure I.4. La Section 3 illustre son utilisation sur di erents cas dapplication. Une telle approche est particuli` erement protable dans les phases amont des analyses de risques, notamment pour d enir leur p erim` etre, mais egalement ` a un niveau plus macroscopique dans l etablissement de collaborations ou dassignation de t aches dans de grands projets multi- equipes et multidisciplinaires. De plus, SEMA permet de rappeler la diversit e des facettes du risque dun point de vue holistique, consid erant conjointement la s ecurit e et la s uret e. Ceci-dit, il convient de souligner plusieurs limites, ou tout du moins pr ecautions dusage, concernant SEMA. Tout dabord, les contours relatifs des sous-notions d enies par SEMA ne peuvent pas etre consid er es comme xes et herm etiques. En particulier, la fronti` ere entre syst` eme et environnement est mouvante et par essence d ependante de la perspective danalyse adopt ee, or elle est cruciale dans la d enition et la s election des sous-notions. Lemploi de SEMA suppose ainsi une d elimitation du syst` eme claire et explicite. De plus, les sous-notions ne sexcluent pas mutuellement dans le sens o` u un ev enement redout e donn e ou une contre-mesure peuvent dans certains cas correspondre simultan ement ` a plusieurs sous-notions. Ceci rel` eve largement de linterpr etation de lanalyste. En particulier, des consid erations li ees ` a la sous-notion de Self-Containment (s uret e dans le secteur nucl eaire) impliquent par exemple de fortes contraintes relevant de la Reliability sur les syst` emes en charge de la protection de lenvironnement et/ou de linstallation. Enn, SEMA ne peut r esoudre les probl` emes intrins` eques aux di erentes d enitions existantes des termes s uret e et s ecurit e, notamment en termes de recouvrements. Comme illustr e dans la section suivante, SEMA permet par contre de les identier et de les caract eriser. 14

3
3.1

Exemples et cas dapplication

Les r eseaux electriques

Les r eseaux de transport et de distribution d electricit e sont de vastes et complexes syst` emes techniques, en pleine mutation, et associ es ` a diverses probl ematiques de s uret e et de s ecurit e [129, 130]. Dans un tel contexte, les acteurs impliqu es ont des parcours et des comp etences vari es, faisant des r eseaux electriques un bon exemple de secteur propice aux pi` eges terminologiques associ es aux termes s uret e et s ecurit e. En fait, sagissant du terme s uret e, celui-ci est de fa con assez consensuelle dans lindustrie electrique li e ` a la pr evention de d eg ats mat eriels ou des atteintes aux personnes physiques dorigine accidentelle et provoqu es par le syst` eme [131, 132]. Le terme s ecurit e est par contre nettement plus ambigu. Du point de vue du g enie electrique, la s ecurit e du r eseau correspond ` a sa capacit e` a tol erer des perturbations, comme par exemple un court-circuit ou la perte inattendue dun composant, sans interruption de service aux usagers [35, 133, 134]. La nature des causes de ces perturbations nest traditionnellement pas consid er ee et la signication g en eralement sugg er ee est repr esent ee gr ace ` a lutilisation de SEMA en Figure I.5 : le caract` ere malveillant nest pas explicitement exclu mais nest que marginalement trait e sp eciquement ; les impacts sur lenvironnement sont hors p erim` etre, plut ot trait es comme relevant de la s uret e (en supposant les intervenants humains sur le r eseau comme ext erieurs au syst` eme). Toutefois, les inqui etudes croissantes vis-` a-vis de la vuln erabilit e des infrastructures critiques, exacerb ees suites aux attentats du 11 septembre 2001, ont conduit ` a mobiliser des moyens consid erables dans une optique de protection contre les risques de type malveillant, en particulier le risque terroriste. Cette mobilisation, d esign ee internationalement par le terme Critical Infrastructure Protection (CIP), a et e impuls ee par des engagements politiques marqu es, structurant encore largement ce domaine aujourdhui (cf. par exemple [5] pour les Etats-Unis ou [1] en Europe). Les r eseaux electriques y occupent une place fondamentale [135, 136]. Dans cette mouvance, le terme s ecurit e est clairement associ e` a une signication di erente de celle discut ee pour le g enie electrique traditionnel, et nettement d elimit ee par la distinction M-A du r ef erentiel SEMA comme repr esent e dans la Figure I.5. Enn, la place grandissante des technologies num eriques soulign ee dans lIntroduction G en erale devient particuli` erement critique dans le domaine des r eseaux electriques : lengouement mondial pour les initiatives de type Smart Grid [137, 138, 139] et les d eploiements de compteurs intelligents [140] en sont des manifestations directes. Une telle evolution va de pair, comme d ej` a signal e, avec l emergence de nou veaux risques malveillants [129]. Pour y faire face, les Etats-Unis ont ainsi d eni un cadre r eglementaire contraignant pour prot eger leur syst` eme electrique des attaques informatiques (cf. notion de cybersecurity dans les standards NERC-CIP [69]). Ce contexte implique une autre fa con dappr ehender le mot s ecurit e, egalement ax ee sur la composante malveillante de SEMA. Nous la repr esentons et la comparons explicitement aux autres acceptions des termes s uret e et s ecurit e du secteur gr ace ` a SEMA dans ` noter que la couverture partielle de la sous-notion Self-protection est li la Figure I.5. A ee ` a la prise en compte variable des menaces dorigine interne (insider threat ).
Env. Systme Malveillant Systme Env. Systme Systme

Defense

Safeguards

Self-protection

Accidentel

Robustness

Containment Ability

Reliability

Sret lectrique Scurit au sens CIP

Scurit lectrique Cyberscurit

Figure I.5 S ecurit e et s uret e dans le domaine des r eseaux electriques 15

3.2

La production electronucl eaire

Dans lindustrie electronucl eaire, sur le plan international, les notions de s uret e et de s ecurit e sont g en eralement utilis ees dans lacception de lAgence internationale de l energie atomique (AIEA) [13] : s ecurit e (nucl eaire) : Mesures visant ` a emp echer et ` a d etecter un vol, un sabotage, un acc` es non autoris e, un transfert ill egal ou dautres actes malveillants mettant en jeu des mati` eres nucl eaires et autres mati` eres radioactives ou les installations associ ees, et ` a intervenir en pareil cas. ; s uret e (nucl eaire) : Obtention de conditions dexploitation correctes, pr evention des accidents ou att enuation de leurs cons equences, avec pour r esultat la protection des travailleurs, du public et de lenvironnement contre des risques radiologiques indus. . Ces d enitions peuvent etre directement et simplement mises en correspondance avec le r ef erentiel SEMA, comme lillustre la Figure I.6. La s ecurit e au sens de lAIEA recouvre les sous notions de Defense, Safeguards et Self-Protection alors que la s uret e correspond dans ce contexte principalement ` a la notion de Containment-Ability (en supposant les travailleurs comme etant externes au syst` eme technique consid er e). Les risques li es ` a la sous-notion Reliability de SEMA et qui ne pr esentent pas denjeux pour lenvironnement correspondent ` a des probl ematiques de disponibilit e ou de performance : ils ne sont pas consid er es comme relevant de la s uret e. Les aspects Robustness ont leurs propres etudes d edi ees, distinctes des etudes g en erales de s uret e et de s ecurit e. N eanmoins, malgr e ces correspondances relativement nettes, equivoques et incompr ehensions r eciproques restent possibles : certaines utilisations des termes s uret e et s ecurit e au sein m eme du secteur nucl eaire ne suivent pas ce sch ema. Cest ainsi le cas de la loi fran caise dite TSN (Transparence et S ecurit e en mati` ere Nucl eaire) du 13 juin 2006 [141], qui emploie comme soulign e dans [142] le mot s ecurit e de fa con plus large que ne le d enit lAIEA. En eet, le terme s ecurit e de la loi TSN recouvre tout ` a la fois la s uret e nucl eaire au sens de lAIEA, la radioprotection mais egalement la pr evention et la lutte contre les actes de malveillance ainsi que les aspects de s ecurit e civile en cas daccident [142]. Ce p erim` etre est repr esent e en pointill e sur la Figure I.6. Une fois projet ees sur les six notions de SEMA, les di erences entre les signications des termes s uret e et s ecurit e tels quutilis es dans le domaine nucl eaire sont rendues explicites.
Env. Systme Malveillant Systme Env. Systme Systme

Defense

Safeguards

Self-protection

Accidentel

Robustness

Containment Ability

Reliability

Sret nuclaire (AIEA) Scurit au sens de la loi TSN

Scurit nuclaire (AIEA)

Figure I.6 Utilisation de SEMA pour la production electronucl eaire Finalement, comme pour les r eseaux electriques dans la section pr ec edente et plus g en eralement pour les infrastructures critiques, les risques associ es ` a la malveillance informatique sur les syst` emes num eriques des installations nucl eaires font lobjet dune attention grandissante des etats et de la communaut e internationale. Sur ce dernier plan, lAIEA et plus r ecemment la CEI travaillent ainsi sur l elaboration de r ef erentiels internationaux pour la s ecurit e informatique des installations nucl eaires [49, 52] ; aux EtatsUnis, de nombreuses initiatives et documents structurent d ej` a le domaine (e.g. [55, 143]). Certaines de ces r ef erences utilisent le terme s ecurit e pour la protection des syst` emes num eriques de fa con di erente : SEMA pourrait l` a aussi rendre ces di erences explicites et lever certaines ambigu t es. 16

3.3

Les t el ecommunications et r eseaux

Les r eseaux de t el ecommunications et de donn ees tiennent, comme les r eseaux electriques, une place particuli` ere parmi les infrastructures critiques : ils sont ` a la fois une infrastructure critique en tant que telle, mais sont aussi constitutifs de toutes les autres infrastructures critiques. En eet, ces derni` eres d ependent d esormais toutes tr` es intimement des capacit es de communication de syst` emes num eriques interconnect es. La protection de telles capacit es est parfois d esign ee par le sigle CIIP (Critical Information Infrastructure Protection ) [144]. Lutilisation des termes s uret e et s ecurit e dans ces di erents contextes est ` a limage de lutilisation des r eseaux de donn ees dans les infrastructures critiques : diverse et omnipr esente. Concernant Internet, lInternet Engineering Task Force (IETF), reconnue comme un des principaux architectes et une des organisations techniques de r ef erence en la mati` ere, a publi e un glossaire de la s ecurit e Internet [120]. Dans celui-ci, on trouve les d enitions suivantes 3 : security : a system condition in which system resources are free from unauthorized access and from unauthorized or accidental change, destruction, or loss ; safety : the property of a system being free from risk of causing harm (especially physical harm) to its system entities. La distinction M-A nest pertinente pour aucune des deux d enitions. La s uret e est vue comme une probl ematique de type syst` eme-` a-syst` eme alors que la s ecurit e est d enie de fa con beaucoup plus large. De plus, une distinction que SEMA ne traite pas sp eciquement est en jeu : le caract` ere physique des cons equences est en eet evoqu e dans la d enition de la s uret e, alors que le terme resources de la d enition de s ecurit e laisse place ` a linterpr etation quant ` a leur nature. Ouvrant le p erim` etre au-del` a dInternet, il convient aussi de sint eresser ` a la s erie de normes conjointement edit ees par lISO et lIEC sur la s ecurit e des technologies de linformation (s erie 27000, dite 27k). Cette s erie couvre aussi bien risques accidentels que risques malveillants : en outre, la norme ISO/IEC 27005 [118] sp ecie que les menaces consid er ees peuvent etre dorigine naturelle ou humaine, et peuvent etre accidentelles ou d elib er ees ( threats may be of natural or human origin, and could be accidental or deliberate ). En fait, le domaine couvert est encore plus large, la m eme r ef erence indiquant quune menace peut provenir de lint erieur ou lext erieur de lorganisation ( a threat may arise from within or from outside the organization ). La notion de s uret e nest pas couverte dans cette s erie, ce qui pourrait expliquer l etendue donn ee au domaine de la s ecurit e. H elas, ni les d enitions de lIETF ni celles des normes 27k ne sont en ligne avec celles utilis ees dans la majorit e des di erents secteurs du domaine CIIP, sur la base des r ef erences de la Table I.2. Cest le cas de la production electronucl eaire et des r eseaux electriques, pour lesquels on se reportera aux Sections 3.1 et 3.2, mais egalement de bien dautres secteurs, comme celui de la chimie, du p etrole ou de la eronautique, o` u lutilisation du terme s ecurit e est g en eralement restreinte ` a la malveillance (cf. par exemple les documents du DHS aux Etats-Unis [145, 146]). La pr eexistence et limportance des probl ematiques de s uret e dans ces industries, historiquement bien etablies et structur ees dans un corpus normatif cons equent, pourraient expliquer cette d elimitation plus contrainte du concept de s ecurit e. Toutefois, une telle pr eexistence pourrait aussi avoir contribu e au fait qu` a linverse des d enitions IETF ou de la s erie 27k, cest la notion de s uret e qui est cette fois d enie de fa con extr emement large. Ainsi, lISO et lIEC ont harmonis e pour les standards de plusieurs secteurs industriels leur d enition de s uret e en tant quabsence de risque inacceptable ( freedom from unacceptable risk [40]), alors quune des r ef erences les plus cit ees de la litt erature acad emique dans le domaine des syst` emes critiques [16] d enit la s uret e comme absence de cons equences catastrophiques sur le(s) utilisateur(s) et lenvironnement . Globalement, face ` a la largeur des di erentes d enitions pr ec edemment consid er ees, SEMA ne permet pas de tracer des limites claires entre les concepts, mais fournit un moyen ecace de souligner les probl` emes de recouvrement et dincoh erence, illustr es par le manque de lisibilit e de la Figure I.7 4 . Dans une telle situation, il peut etre utile de repartir du d ecoupage propos e par SEMA pour entamer un dialogue sans equivoques, evitant les pi` eges inh erents aux contours manifestement trop larges des d enitions existantes dans le domaine de t el ecommunications et r eseaux.
3. Nous donnons les d enitions dorigine en anglais, elles peuvent etre traduites approximativement comme suit : S ecurit e : une condition du syst` eme dans laquelle ses ressources ne sont pas acc ed ees de fa con non autoris ee, et ne sont pas chang ees, d etruites ou perdues de fa con non-autoris ee ou accidentelle ; S uret e : la propri et e dun syst` eme exempt de risque dendommagement (en particulier physique) dune de ses entit es . 4. Nous avons conserv e dans cette gure les termes anglais safety et security pour ne pas ajouter a ` la situation d ej` a confuse les dicult es li ees aux conventions de traduction de lISO et de lIEC evoqu ees en Section 1.1.

17

Env. Systme Malveillant

Systme Env.

Systme Systme

Defense

Safeguards

Self-protection

Accidentel

Robustness

Containment Ability

Reliability

ISO/IEC Safety

IETF Safety

Scurit au sens CIIP

IETF et ISO/IEC Security

Figure I.7 Utilisation de SEMA pour le domaine des r eseaux et t el ecommunications

3.4

Utilisation des termes s uret e et s ecurit e dans ce m emoire

Dans ce m emoire, nous emploierons le terme s uret e pour ce qui rel` eve du risque accidentel avec des cons equences sur lenvironnement, tandis que le terme s ecurit e sera employ e pour ce qui rel` eve de la malveillance, ind ependamment de la dimension S-E. La Figure I.8 illustre notre emploi de ces termes dans le r ef erentiel SEMA. Notons que les pannes internes au syst` eme sans eets sur lenvironnement (sous-notion d esign ee par Reliability ), et les impacts de lenvironnement sur le syst` eme (Robustness ), quand eux-m emes sans cons equences pour lenvironnement, sont consid er es comme hors p erim` etre, i.e. ne relevant ni de la s ecurit e, ni de la s uret e.
Env. Systme Malveillant Systme Env. Systme Systme

Defense

Safeguards

Self-protection

Accidentel

Robustness

Containment Ability

Reliability

Scurit, dans le cadre de ce mmoire

Sret, dans le cadre de ce mmoire

Figure I.8 D enition des termes s uret e et s ecurit e dans ce m emoire.

Perspectives

Lemploi et la promotion de SEMA ont permis didentier plusieurs pistes dam elioration. La plus prometteuse consiste ` a distinguer la dimension physique de la dimension informatique, impliqu ees par les probl ematiques de s uret e et de s ecurit e. Ceci permettrait une d ecomposition plus ne, et en particulier, une meilleure prise en compte des sp ecicit es de la s ecurit e informatique. Dans une m eme optique, il serait int eressant de distinguer condentialit e, int egrit e et disponibilit e, ainsi que dautres propri et es associ ees aux probl ematiques de s ecurit e et de s uret e. Enn, au-del` a des termes s uret e et s ecurit e, SEMA pourrait etre mis ` a prot pour analyser et rapprocher les taxonomies en cours dans les di erentes communaut es du risque, qui manipulent nombre de concepts communs sous des d enominations di erentes. 18

Conclusion

Dans ce chapitre, nous avons dabord montr e en quoi les termes s uret e et s ecurit e etaient eminemment ambigus, leurs signications changeant selon leur contexte dutilisation. Cette situation est source d equivoques et dincompr ehensions. Sur la base dune analyse bibliographique approfondie, nous avons construit un outil nomm e SEMA, permettant de distinguer et de rendre explicites les di erences de signication souvent cach ees derri` ere lutilisation de ces termes. Nous lavons mis ` a prot pour comparer lemploi des termes s uret e et s ecurit e dans di erents secteurs : les r eseaux electriques, l electronucl eaire et le secteur des t el ecommunications et r eseaux. Les deux premiers cas nous ont permis dillustrer les di erences de compr ehension des termes s uret e et s ecurit e dans un m eme secteur (cf. les Fig. I.5 et I.6 individuellement), mais aussi dillustrer ces di erences entre deux secteurs appartenant pourtant ` a une m eme industrie (cf. les Fig. I.5 et I.6 ensemble, d ecrivant deux secteurs de lindustrie electrique). Dans le troisi` eme cas, SEMA souligne plus particuli` erement linsusance des d enitions existantes, qui laissent une large place a lambigu ` t e et aux recouvrements. Enn, nous avons utilis e SEMA pour d enir les termes s uret e et s ecurit e dans le cadre de ce m emoire. Ainsi, malgr e les limites et les perspectives dam elioration identi ees, ce r ef erentiel constitue d ej` a dans sa forme actuelle une aide ecace pour limiter les ambigu t es associ ees ` a lemploi des termes s uret e et s ecurit e.

19

20

Chapitre II

Similitudes, di erences et inspirations r eciproques entre s uret e et s ecurit e

Seigneur, nous navons pas si grande ressemblance, Quil faille de bons yeux pour y voir di erence. (Pierre Corneille, Nicom` ede (1651), Acte IV, Sc` ene 3.)

Il se trouvait entre leurs caract` eres toute la ressemblance, et de plus toute la di erence qui peuvent servir ` a former une grande liaison. (Bernard le Bouyer de Fontenelle, Eloge des acad emiciens (1715), Eloge de Malezieu.)

ans le chapitre pr ec edent, nous avons soulign e lambigu t e des termes s ecurit e et s uret e, avant de D proposer un cadre r ef erentiel permettant dexpliciter leur signication selon le contexte. Leur signication a et e nalement pr ecis ee dans le cadre de ce m emoire. Si lemploi de ces mots est si confus, cest en partie car les concepts sous-jacents ont de nombreux points communs. Dans ce chapitre, nous pr esentons en Section 1 les similitudes entre s uret e et s ecurit e dun point de vue g en eral, mais aussi leurs di erences fondamentales, an de mieux circonscrire les deux concepts. Poursuivant ce m eme objectif, nous changeons dangle en Section 2, pour nous int eresser plus particuli` erement aux techniques d evaluation, et donnons pour chaque domaine un aper cu des outils et approches les plus r epandus. Les di erences et similitudes pr ec edemment discut ees sy re` etent implicitement. Enn, la Section 3 brosse un panorama des techniques et approches ayant la particularit e d etre les fruits dadaptations les ayant fait passer de la s uret e vers la s ecurit e ou inversement. Linventaire de telles fertilisations crois ees t emoigne dune part du d ecloisonnement progressif des communaut es s uret e et s ecurit e pour le plus grand b en ece de tous, et permet de mieux situer dautre part les contributions d evelopp ees dans les chapitres suivants.

21

1
1.1
1.1.1

Similitudes et di erences dordre g en eral

Similitudes
Le risque comme notion fondamentale

Un premier point commun entre s ecurit e et s uret e tient dans le fait que leur evaluation et leur gestion sappuient largement sur la notion de risque. Le risque se d enit dans les deux cas de fa con macroscopique par une m eme equation : risque = probabilit e 1 cons equences. Le guide 73 de lISO sur le vocabulaire du risque [147] donne ainsi la d enition suivante : combinaison de la probabilit e1 dun ev enement et de ses cons equences , coh erente avec les guides de la m eme organisation, notamment sur lutilisation du vocabulaire en s uret e [40]. La Table II.1 regroupe dautres exemples de d enitions de la notion de risque, validant une conception commune entre communaut e s uret e et communaut e s ecurit e. Table II.1 Exemples de d enitions de la notion de risque
Secteur et source Nucl eaire (Glossaire AIEA [13]) S uret e D enition du risque A multiattribute quantity expressing hazard, danger or chance of harmful or injurious consequences associated with actual or potential exposures. It relates to quantities such as the probability that specic deleterious consequences may arise and the magnitude and character of such consequences. Risk is an expression of possible loss over a specic period of time or number of operational cycles. It may be indicated by the probability of an accident times the damage in dollars, lives, and/or operating units. Hazard probability and severity are measurable and, when combined, give us risk. Measure of human injury, environmental damage, or economic loss in terms of the incident likelihood and the magnitude of the loss or injury. The combination of the probability of an event and its consequence. An expectation of loss expressed as the probability that a particular threat will exploit a particular vulnerability with a particular harmful result. The level of impact on agency operations (including mission, functions, image, or reputation), agency assets, or individuals, resulting from the operation of an information system given the potential impact of a threat and the likelihood of that threat occurring.

Aviation civile (FAA Safety Handbook [148])

Chimie (Glossaire CCPS [101]) P etrolier (OLF-104 [91]) Internet (IETF RFC 4949 [120]) Informatique g en erique (NIST SP800-53 [111], NIST FIPS200 [149])

La d emarche danalyse de risques, en conception dun nouveau syst` eme ou portant sur des syst` emes existants, tente de r epondre aux m emes questions aussi bien en s uret e quen s ecurit e. Kaplan et Garrick les ont r esum ees dans le triplet suivant [150] : Que peut-il se passer ? Quelles en sont les chances ? Quelles en sont les cons equences ? 2 . Lanalyse de risques se structure dans les deux domaines autour de phases similaires : analyse des menaces (ou dangers, selon le contexte), des vuln erabilit es (ou faiblesses), identication des cons equences, evaluation des probabilit es doccurrence, hi erarchisation des risques. On peut elargir les similarit es ` a la gestion de risques en g en eral, qui inclut en plus de lanalyse de risques ellem eme, l evaluation du risque en termes de criticit e des cons equences pour lorganisation, et les d ecisions de traitement du risque qui en d ecoule. Quatre options sont alors traditionnellement distingu ees, ` a savoir l evitement (risk avoidance), la r eduction (risk reduction), lacceptation (risk acceptance) ou le transfert (risk transfer), et ce dun point de vue s uret e comme dun point de vue s ecurit e. La Figure II.1 positionne les etapes pr ec edemment discut ees les unes par rapport aux autres dans une repr esentation coh erente avec le guide dutilisation du vocabulaire du risque de lISO/IEC [147] et la norme ISO/IEC 27005 sur la gestion des risques informatiques [118]. Par contre, si la d emarche globale danalyse de risques est similaire, la nature du risque consid er e di` ere bien s ur selon que lon adopte un point de vue s ecurit e ou s uret e. Aussi, les m ethodologies, les outils et les formalismes sont adapt es ` a la nature du risque examin e. La Section 2 d eveloppe plus en avant ces consid erations. Il convient enn dajouter deux remarques. Dune part, certaines d emarches emergentes de gestion de risques privil egient une approche elargie, consid erant risques de s uret e et de s ecurit e de fa con int egr ee. Le Chapitre IV pr esente les motivations, lint er et et l etat de lart de ce type de m ethodes. Dautre part, dans certaines industries ` a risques, notamment dans le nucl eaire, les fondements de la gestion du risque di` erent selon le contexte, en particulier selon le pays ou le type de risques consid er e [151]. Ainsi, en France, lAutorit e de s uret e nucl eaire privil egie les approches d eterministes, o` u les syst` emes sont con cus et exploit es
1. Le terme probabilit e doit etre ici compris au sens le plus g en eral, et pas n ecessairement au sens math ematique. Le terme likelihood est employ e dans la d enition en anglais mais na pas de traduction directe en fran cais. 2. What can go wrong ? What is the likelihood ? What are the consequences ?

S ecurit e

22

Gestion de risques (risk mangement)

Apprciation des risques (risk assessment)

Analyse de risques (risk analysis)

Dfinition du primtre, des composants techniques et fonctionnels du systme analyser

Estimation des risques (affectation de valeurs et quantification)

Evaluation des risques (hirarchisation et apprciation de limportance)

Traitement des risques (vitement, rduction, transfert, acceptation)

Figure II.1 Gestion et analyse de risques

par rapport ` a des sc enarios accidentels de r ef erence sans faire appel directement ` a la notion de probabilit e doccurrence, et o` u les etudes probabilistes sont des compl ements. A contrario, dans les pays dinuence anglo-saxonne, les approches probabilistes constituent les fondements des d emonstrations de s uret e 3. Similairement, le domaine de la protection physique des installations nucl eaires repose g en eralement sur la prise en compte dun document dit DBT (Design Basis Threat ), etabli par les autorit es nationales, et d enissant les caract eristiques des attaquants potentiels et les sc enarios de r ef erence contre lesquels les protections dune installation doivent etre dimensionn ees, en dehors de toute consid eration probabiliste [153, 142]. Dans ces cas, une approche gradu ee , proportionnant les dispositifs de s ecurit e en termes de cons equences potentielles uniquement, est fr equemment adopt ee [142, 49]. 1.1.2 Similarit es dans les grands principes de conception et dexploitation

En conception, aussi bien en s uret e quen s ecurit e, les dispositions de type pr eventif sont d enies en priorit e [142]. Plus les mesures sont consid er ees en amont de la conception, plus leur mise en uvre est ecace et economiquement optimale. Les probl ematiques de s uret e et s ecurit e peuvent en eet avoir des ` titre dexemple impacts cons equents en termes darchitecture des syst` emes, informatiques ou physiques. A dans lindustrie nucl eaire, les exigences de s uret e, comme le crit` ere de d efaillance unique, am` enent ` a des dispositifs redond es, diversi es et souvent s epar es physiquement ; les exigences de s ecurit e ont aussi des cons equences directes sur la conception, limplantation et le dimensionnement des ouvrages [142]. Les notions de risque et dapproche gradu ee evoqu ees dans la section pr ec edente jouent un r ole central en conception, aussi bien en s uret e quen s ecurit e. En particulier, lapproche dite de d efense en profondeur (defense-in-depth ), initialement mise en uvre dans le domaine militaire puis en s uret e nucl eaire [54], sapplique ` a dautres secteurs, en s uret e comme en s ecurit e informatique [23] ou physique [154]. La Section 3.1.1 revient sur la teneur de cette approche et lhistorique des inspirations r eciproques entre s uret e et s ecurit e` a ce sujet. On peut cependant dores et d ej` a remarquer, ` a linstar de [142], que le
3. Zio discute des origines et des implications de ces deux conceptions notamment pour le domaine nucl eaire dans [152], o` u elles sont quali ees respectivement de structuraliste et rationaliste .

23

Communication des risques

Surveillance des risques

Identification et caractrisation des menaces

Identification et caractrisation des vulnrabilits

Evaluation des consquences

domaine de la s ecurit e met souvent en uvre un premier niveau, la dissuasion, appropri e uniquement face a une menace intelligente. Dune fa ` con g en erale, si le principe de d efense en profondeur est pertinent aussi bien en s uret e quen s ecurit e, il est d eclin e pour tenir compte des di erences de risques et de menaces. Dun point de vue qualit e logicielle, s uret e et s ecurit e exigent lutilisation de techniques et de processus de d eveloppement sp eciques et souvent co uteux [18], limitant les comportements dangereux et les failles de s ecurit e (cf. Section 2 pour des exemples). En exploitation, on retrouve egalement bon nombre de similitudes. En outre, s uret e et s ecurit e exigent toutes deux un suivi rapproch e et une connaissance en profondeur du syst` eme et de ses evolutions [142]. Ainsi, r ef erentiels de s uret e (e.g. [110]) et de s ecurit e (e.g. [49, 115, 117]) impliquent la tenue dinventaires, le suivi des modications, celui des eventuelles mesures palliatives temporaires, etc. La notion de maintenance pr eventive joue egalement un r ole capital, aussi bien en s uret e [151] quen s ecurit e [155]. Le retour dexp erience doit etre r eguli` erement et minutieusement trait e, alimentant la mise ` a jour des r ef erentiels, egalement stimul ee par un suivi rapproch e des evolutions r eglementaires, scientiques et techniques. La conformit e aux r ef erentiels de s uret e comme de s ecurit e est r eexamin ee par des audits et inspections d edi ees. Gestion de crise en s uret e et gestion de crise en s ecurit e sont aussi semblables ` a plusieurs egards [142] : elles impliquent dans les deux cas l elaboration pr eventive de plan durgence et la r ealisation dexercices p eriodiques. Ces derniers permettent de v erier lad equation des plans et des moyens face aux crises, d evaluer lentra nement des intervenants et les d elais associ es aux etapes du plan, de tester les cha nes d ecisionnelles, ou encore dam eliorer les interfaces et la coordination entre les di erentes entit es. Ceci-dit, le d etail des proc edures, et notamment les entit es impliqu ees, peuvent bien s ur changer selon la nature du risque (e.g. le r ole de lEtat, comme discut e en Section 1.2.5). Enn, travaux de recherche et bon sens se rejoignent pour d enoncer la complexit e comme ennemi commun de la s ecurit e et de la s uret e. En s ecurit e informatique, le nombre de vuln erabilit es dune application peut etre grossi` erement li e au nombre de lignes de code la constituant [156], mais on peut en fait le lier plus nement ` a la richesse et la diversit e des fonctionnalit es [157, 158]. C ot e s uret e, on pourra se r ef erer sur le sujet ` a la premi` ere partie de louvrage collectif dEDF R&D, consacr e au risque industriel et ` a la prise en compte de la complexit e [151]. 1.1.3 Non-cumulativit e et non-composabilit e des mesures de s ecurit e et de s uret e

Contrairement au sens commun, les mesures de s ecurit e, tout comme les mesures de s uret e, sont ` titre illustratif, Deleuze et al. citent dans [159] lexemple de la multiplication rarement cumulatives. A de gardiens : plusieurs gardes op erant simultan ement rel achent leur vigilance de par leur conance dans celle des autres gardiens. Dans le domaine de la s ecurit e informatique, on peut donner un exemple en cryptographie sur lutilisation de lalgorithme DES (Data Encryption Standard ). DES a longtemps et e le standard de r ef erence de chirement sym etrique ; son utilisation assurait une protection jug ee susante pour des informations non classi ees mais consid er ees comme sensibles jusquau d ebut des ann ees 90. La taille limit ee de sa cl e (56 bits) et des faiblesses cryptographiques ont depuis men e` a son remplacement par AES (Advanced Encryption Standard ) [158]. Un sur-chirement eectu e par le m eme algorithme DES mais avec une cl e di erente (op eration appel ee double-DES), est bien loin de doubler la solidit e du chirement : lam elioration est en r ealit e tout ` a fait minime si lon a assez de m emoire pour mener lattaque [160]. Dans un autre domaine, Anderson expose un exemple ediant de mesures successivement mises en echec ayant abouti en octobre 2007 au survol involontaire des Etats-Unis par six bombes thermonucl eaires op erationnelles, laiss ees ensuite plusieurs heures sans surveillance [158]. Dautre part, ni s ecurit e ni s uret e ne sont syst ematiquement composables [19, 161] : lassemblage de deux composants consid er es comme s urs ou s ecuris es ne forme pas un nouveau syst` eme h eritant de ces qualit es, ce qui soul` eve en outre de grandes dicult es par rapport ` a la certication de syst` emes modulaires [162]. S ecurit e comme s uret e doivent in ne etre evalu ees globalement. 1.1.4 Autres similitudes

S uret e et s ecurit e, les eternels rabat-joies. Comme justement soulign e dans [18, 21, 163], s ecurit e et s uret e partagent un fardeau commun : elles impliquent toutes deux de se pr emunir contre des ev enements redout es, de nature n egative (attaques, accidents), ` a loppos e de r esultats recherch es, de nature positive (service rendu, production de biens). Elles sont souvent per cues comme des freins ` a la productivit e, ou plus g en eralement comme des entraves aux exigences fonctionnelles et aux objectifs des syst` emes ou organisations analys es. Dans ces conditions, leur evaluation est particuli` erement d elicate. 24

Dune part, elle n ecessite de lobjectivit e quil est dicile dattendre des parties-prenantes, dautre part, elle requiert une connaissance ne de domaines sensibles, peu compatible avec des intervenants ext erieurs. De plus, alors quune gestion de risques ecace n ecessite une bonne circulation des informations annonciatrices dincidents ( signaux faibles ), elle est entrav ee par la tentation des responsables ` a les etouer ou les g erer localement [164]. La valorisation des eorts en s uret e comme en s ecurit e est peut- etre encore plus probl ematique ; elle ne peut se faire bien souvent quau conditionnel, en termes de situations et de cons equences hypoth etiques evit ees. En simpliant, les retours sur investissements concrets sont g en eralement diciles ` a justier : s uret e comme s ecurit e partagent par cons equent fr equemment les premi` eres coupes dans des arbitrages budg etaires contraints. De nombreuses catastrophes industrielles appuient ce triste constat (e.g. lexplosion de la ranerie BP en 2005 [165]). Enn, s ecurit e et s uret e sont victimes des m emes biais caract erisant la gestion et les prises de d ecisions dans toute organisation face au risque : Choo cite des exemples repr esentatifs dans [166], Schneier [167, 168] et Anderson [169] les caract erisent plus particuli` erement pour la s ecurit e informatique. Globalement, le d eveloppement de cultures sp eciques ` a la gestion des risques s uret e et s ecurit e, coupl ees ` a des obligations r eglementaires adapt ees, permettent de responsabiliser le management et damoindrir les dicult es mentionn ees. Culture s ecurit e et culture s uret e. On entend par culture s uret e (resp. culture s ecurit e) l ensemble des caract eristiques et des attitudes qui, dans les organismes et chez les personnes, font que les questions de s ecurit e (resp. de s uret e) b en ecient, en tant que priorit e absolue, de lattention quelles m eritent en raison de leur importance [13]. Dans cette acception, toutes deux partagent dimportantes ressemblances : dans les deux cas, lengagement explicite de la direction, une politique volontariste de formation, et lassimilation par chacun des enjeux et de sa place ` a jouer en termes de s uret e et de s ecurit e sont dindispensables composantes [142, 170]. Pour cela, la croyance dans la cr edibilit e des menaces est fondamentale [170] ; les cultures doivent nourrir une attitude de vigilance g en erale et un questionnement proactif permanent. Le partage et l echange dinformation y sont egalement centraux (mais dans des modalit es di erentes, cf. Section 1.2.5). Malgr e leurs ressemblances, les deux cultures ne se confondent cependant pas et doivent coexister, senrichir, et se renforcer mutuellement [142, 170]. Place du facteur humain. Le facteur humain joue un r ole critique aussi bien en s uret e quen s ecurit e. Cette place a cependant et e reconnue plus tardivement en s ecurit e informatique, notamment suite aux attaques de social engineering (ing enierie sociale 4 ), popularis ees par le pirate Kevin Mitnick [171]. Les r ef erences [156, 158] donnent une description actuelle et compl` ete de la probl ematique, etudi ee de fa con croissante depuis le d ebut des ann ees 90 [172]. En s uret e, lincident de la centrale nucl eaire de Three Mile Island en 1979 a constitu e un tournant, stimulant un eort plus pr ecoce et plus cons equent sur ces aspects, dont [151] donne un bon aper cu. Cadre r eglementaire et l egislatif. Les grands principes structurant le cadre r eglementaire de la s uret e et ceux encadrant la s ecurit e des installations industrielles ` a risques sont, de fa con macroscopique, tr` es semblables [142, 18] : dans le deux cas, lEtat nomme une autorit e comp etente (e.g. en France, lASN 5 6 pour la s uret e nucl eaire, lANSSI pour la s ecurit e informatique des infrastructures critiques), met en uvre un syst` eme dautorisation (sous forme de licensing dans les pays anglo-saxons), evalue les dispositions prises par les op erateurs, inspecte les installations. Selon les cas, ce fonctionnement peut reposer sur une m eme autorit e couvrant ` a la fois s uret e et s ecurit e, ou sur des autorit es di erentes, mais coordonn ees. Des structures internationales harmonisent les pratiques entre Etats (e.g. lAIEA 7 pour la s uret e et la s ecurit e du nucl eaire) ; des associations industrielles le font entre acteurs economiques dans certains secteurs (e.g. lIATA 8 dans laviation). Les modalit es de mise en uvre des sch emas r eglementaires et l egislatifs di` erent cependant de pays en pays, avec notamment des marges de manuvre et dinitiative tr` es di erentes pour les op erateurs. Notons enn que limplication de lEtat est g en eralement encore plus forte pour les probl ematiques de s ecurit e (cf. Section 1.2.5).
4. Ensemble de moyens non techniques, de type manipulations et abus de conance, permettant a ` lattaquant dobtenir des informations utiles ` a la progression de son attaque. Le terme social-engineering est rarement traduit dans la litt erature francophone, nous continuerons de lemployer par la suite en anglais. 5. Autorit e de S uret e Nucl eaire (ASN, http://www.asn.fr). 6. Agence Nationale de la S ecurit e des Syst` emes dInformation (ANSSI, http://www.ssi.gouv.fr). 7. Agence International de lEnergie Atomique (AIEA, http://www.iaea.org). 8. International Air Transport Association (IATA, http://www.iata.org).

25

1.2
1.2.1

Di erences
Des risques de nature di erente

Si en s uret e comme en s ecurit e, la notion de risque joue un r ole fondamental, la nature du risque consid er e di` ere. Dans la convention adopt ee en n de Chapitre I, les risques de nature malveillante sont associ es ` a la s ecurit e, alors que les risques de type accidentel avec impacts potentiels sur lenvironnement rel` event de la s uret e. Soulignons que lorigine des risques en termes de menace joue un r ole cl e dans la distinction adopt ee, les cons equences pouvant eventuellement etre les m emes. En eet, avec les d enitions retenues, si un sabotage ou un accident nucl eaire peuvent tous deux aboutir ` a un rejet de mati` ere radioactive dans lenvironnement, le premier rel` evera de la s ecurit e alors que le second sera associ e` a la s uret e. Cette di erence a des implications fondamentales en termes de gestion de risques, de mod elisation et doutils d evaluation, comme discut e dans les sections qui suivent. En fait, il serait possible de d ecouper encore plus nement le type de risque en sappuyant sur le r ef erentiel SEMA introduit dans le chapitre ` chacune de ses sous-notions correspond en eet une cat pr ec edent. A egorie de risques dont les sp ecicit es peuvent induire des di erences, notamment de mod elisation. Ceci-dit, bien que dune nature di erente, les risques et les objectifs associ es ` a la s uret e et ceux de la s ecurit e ne sont pas ind ependants. Le Chapitre IV donne une vue approfondie sur leur interd ependance. 1.2.2 Di erence dans la gradation des cons equences

Une autre di erence soulign ee dans [21], plus subtile mais egalement plus discutable, concerne la gradation en termes de gravit e des cons equences dans les analyses de risques. La gradation serait g en eralement plus marqu ee en s uret e quen s ecurit e, distinguant en s uret e des degr es interm ediaires plus nombreux entre simples incidents, qui peuvent etre tol er es (limites r eglementaires) et ceux associ es a des s ` equences accidentelles potentiellement catastrophiques, syst ematiquement consid er es comme in` acceptables. Lexamen des r ef erences mentionn ees dans les d ebats du Chapitre I tend ` a le conrmer. A titre dexemple, la DO-178B [76] encadrant la s uret e logicielle dans la eronautique distingue cinq niveaux de criticit e ; l echelle internationale INES 9 notant la gravit e des ev enements relatifs ` a la s uret e nucl eaire en compte sept [173]. Les m ethodes danalyse de risques en s ecurit e sont dune part souvent moins prescriptives dans le nombre de degr es ` a utiliser, et proposent dautre part en exemple des echelles d epassant rarement les trois ` a quatre degr es. On peut expliquer une telle di erence par la dicult e intrins` eque ` a evaluer les cons equences dune attaque, souvent volontairement camou ees par lattaquant soucieux de limiter les risques de d etection. Plus conceptuellement, l evaluation des cons equences dun ev enement relevant de la s ecurit e sextrait dicilement dune vision binaire : il est soit consid er e comme indicatif quand il correspond ` a une action autoris ee mais signicative dun point de vue s ecurit e, et eventuellement suspecte, soit caract eris e comme une infraction et devient alors le signe dune faillite potentiellement totale de la d efense en place. La furtivit e souvent recherch ee dune attaque et de ses cons equences, et plus globalement le caract` ere intelligent de lattaquant, ne sont pas etrangers ` a un tel traitement. On trouve une autre illustration de cette di erence de gradation, plus binaire en s ecurit e quen s uret e, dans la notion dalgorithme cryptographique cass e . D` es le moment o` u la communaut e de la cryptologie identie une faille th eorique dans un algorithme, celui-ci est consid er e comme cass e, m eme si aucune attaque r ealisable en pratique na et e propos ee. Seuls les algorithmes nayant pas de faiblesses th eoriques identi ees sont recommand es. Ladage attacks only get better, they dont get worse , attribu e` a la NSA 10 , sous-tend un tel comportement. Ces pr ecautions sont par ailleurs confort ees par la dicult e intrins` eque ` a conna tre les moyens et les comp etences des attaquants potentiels. 1.2.3 De l evaluation de la menace/du danger

L evaluation de la menace est radicalement di erente selon sa nature malveillante ou accidentelle. Dans le premier cas, lorigine des menaces ` a evaluer est par d enition hors de tout contr ole de lanalyste, et couvre un champ des possibles dune extr eme largeur [168, 158]. Dans le second cas, les caract eristiques des dangers sont plus accessibles, et le nombre des sc enarios ` a consid erer peut g en eralement etre r eduit a un ensemble restreint mais susant pour ` etre consid er e comme signicatif. En s ecurit e, la menace est potentiellement intelligente et adaptative. En particulier, comme soulign e par Deleuze et al. [24, 174], elle
9. International Nuclear Event Scale (INES), soit en fran cais, echelle internationale des ev enements nucl eaires. 10. National Security Agency (NSA, http://www.nsa.gov).

26

peut sadapter vis-` a-vis des vuln erabilit es du syst` eme consid er e, voire des contre-mesures et des r eactions dordre d efensif, alors que menaces et vuln erabilit es nont pas dinteractions dynamiques en s uret e. Dans le m eme ordre did ee, une fois les dangers identi es en s uret e, ils sont souvent consid er es comme relativement stables dans le temps, faisant de lutilisation de sc enarios de r ef erence une approche adapt ee ; dans le cas de la s ecurit e, les prols, les motivations et les moyens des attaquants evoluent plus rapidement et de fa con moins pr evisible, ils d ependent de nombreux facteurs, souvent plus larges quen s uret e, qui peuvent ainsi inclure le contexte economique voire g eopolitique. La logique de course entre attaquants et d efenseurs contribue aussi ` a linstabilit e et ` a la dynamique de ces facteurs. Les r ef erentiels doivent etre mis ` a jour beaucoup plus fr equemment. De plus, la caract erisation dune menace de type accidentel peut bien souvent sappuyer sur une approche statistique. En particulier, la mod elisation probabiliste des ev enements de type panne, impliqu es dans des sc enarios de s uret e, sappuie fr equemment sur des banques de donn ees historiques consid erables (e.g. IEEE pour l electrotechnique). En s ecurit e, de telles approches statistiques ne peuvent etre adopt ees pour caract eriser la malveillance : en outre, trop peu de donn ees sont partag ees et mutualis ees pour des raisons dimage ou de condentialit e (cf. Section 1.2.5). Nous discutons plus largement de lutilisation des probabilit es en s ecurit e dans la section suivante et dans la Section 6.1 du Chapitre III. Par ailleurs, notons que les approches statistiques ne se pr etent pas pour autant ` a toutes les situations du domaine de la s uret e : par exemple, les syst` emes logiciels pr esentent de par la nature d eterministe de leurs d efaillances et la complexit e des codes des sp ecicit es appelant des grandes pr ecautions quant ` a lutilisation de ces approches ; le secteur spatial a quant ` a lui des dur ees cumul ees de vol trop limit ees pour cr edibiliser une approche strictement statistique dans les evaluations de s uret e. Finalement, les dicult es intrins` eques ` a l evaluation de la menace en s ecurit e laissent aussi place a une grande subjectivit ` e dans leur perception par les populations dans le cas de la s ecurit e nationale ou dinstallations industrielles ` a risque, et plus g en eralement dans la perception des utilisateurs du syst` eme analys e. Les glissements vers les comportements irrationnels et parano aques y sont ainsi plus fr equents que pour les risques de type s uret e [168], plus propices ` a une argumentation objective, ou pour le moins rationnelle. Dailleurs, ` a laune de ces consid erations, on comprend mieux lattrait des approches d eterministes, simpliant le terme probabilit e (likelihood ) de la macro- equation du risque evoqu ee en Section 1.1.1, pour pr ef erer une gradation des contre-mesures index ee uniquement sur les gravit es de cons equences potentielles. 1.2.4 Des cadres th eoriques et m ethodologiques d evaluation distincts

Nous nous int eressons ici aux di erences dordre g en eral entre les techniques d evaluation du niveau de s uret e dun syst` eme et celles evaluant sa s ecurit e. Les techniques elles-m emes sont pr esent ees en Section 2. Premier constat, egalement fait par Line et al. [21] ou Nicol et al. [45] : les m ethodes quantitatives sont historiquement plus largement utilis ees et industrialis ees dans le domaine de la s uret e que dans celui de la s ecurit e. Les sp ecicit es de cette derni` ere, d ecrites dans les sections pr ec edentes, expliquent cet etat de fait : la menace y est par nature dicile ` a caract eriser en termes quantitatifs ; le qualitatif, associant prescriptif et vues dexperts est donc plus souvent privil egi e. De plus, les m ethodes quantitatives sappuient principalement sur des approches probabilistes. Dune fa con g en erale, l evaluation des probabilit es ` a caract eriser peut se faire par deux approches : par des tests et s eries de mesures concr` etes, eectu es sur le syst` eme r eel ou un prototype dans lenvironnement op erationnel ; ou en sappuyant sur des mod` eles abstraits, ne capturant que partiellement, et avec une d elit e tr` es d ependante des formalismes, le comportement du syst` eme (approches dites ` a base de mod` eles, ou model-based ). S uret e et s ecurit e ne se pr etent pas de la m eme fa con aux deux approches. Ainsi, sil est possible d evaluer concr` etement la s ecurit e dun syst` eme par des tests dintrusion, il est beaucoup plus d elicat de tester en grandeur nature des sc enarios de s uret e, en particulier quand des cons equences catastrophiques y sont associ ees [175]. En fait, dans le cas de la s uret e, lapproche par tests et mesures concerne plut ot l evaluation quantitative dattributs, de type abilit e ou disponibilit e, de certains composants du syst` eme jouant un r ole critique dans les sc enarios de s uret e` a etudier (cf. Section 2.1.2). Les approches ` a base de mod` eles sont utilis ees en pr eparation des approches par tests ou quand cellesci ne sont pas praticables ou sont trop ch` eres. Ceci-dit, l` a encore, il convient de distinguer leur emploi en s uret e et en s ecurit e. Tout dabord, ces approches sont commun ement adopt ees pour les etudes de s uret e dans lindustrie [176], alors quelles y restent encore marginales pour la s ecurit e [45], leurs principales utilisations et d eveloppements etant encore, ` a ce jour, essentiellement acad emiques. De plus, elles peuvent

27

elles-m emes etre divis ees en deux cat egories [176], in egalement adapt ees aux probl ematiques de s uret e et de s ecurit e. On distingue celles faisant appel ` a des mod` eles statiques (dit aussi structurels), qui supposent lind ependance des composants, de celles impliquant des mod` eles dynamiques (ou comportementaux) qui permettent de capturer les notions de s equences et plus largement de d ependance des etats du syst` eme et de ses composants dans le temps. Or si les etudes de s uret e sappuient selon les besoins sur lune ou lautre cat egorie [176], en s ecurit e, le caract` ere adaptatif de la menace et lintelligence de lattaquant semblent privil egier plus distinctement des mod elisations de type dynamique. Dune fa con plus g en erale, les approches probabilistes en s ecurit e soul` event des questions de fond encore largement ouvertes, directement li ees ` a la dicult e de caract eriser une menace par d enition au moins partiellement hors de port ee de toute analyse objective. Pour certains, lutilisation des probabilit es, en tant quoutil par excellence de caract erisation de lincertitude, y est donc parfaitement adapt ee [177, 178] ; pour dautres au contraire, la malveillance echappe ` a toute mod elisation probabiliste. De plus, un tel type de mod elisation doit couvrir des aspects plus nombreux quen s uret e, du fait du plus grand nombre dinconnues ` a caract eriser : on peut citer notamment la d ecouverte des vuln erabilit es, le processus dexploitation de ces vuln erabilit es, le comportement des contre-mesures aussi bien en termes de d etection que de pr evention et de r eaction, et les interactions dynamiques entre ces di erents el ements (plus simples voire inexistantes en s uret e). Dans une optique plus fondamentale, lemploi des probabilit es dans chacun des domaines sinscrit en fait dans une conception di erente de cette notion. Epist emologiquement et de mani` ere simpli ee, les probabilit es peuvent en eet etre consid er ees de deux points de vue [179]. Le point de vue objectiviste fr equenciste (ou fr equentiste) sappuie sur la recherche de fr equence dans un ensemble, ce qui suppose de pouvoir r ep eter de fa con semblable et potentiellement innie des exp eriences caract erisant laspect du syst` eme cibl e. Dans cette approche, il ny a pas de probabilit e sans ensemble de r ep etitions. Du point de vue des subjectivistes, au contraire, les probabilit es sont pour reprendre les termes de [179] une mesure de conance, desp erance raisonnable, de codage num erique dun etat de connaissance et peuvent donc en particulier traiter de ph enom` enes ` a occurrence unique. Pour les fr equencistes, les probabilit es sont caract eristiques de l ev enement lui-m eme, pour les subjectivistes, les probabilit es sont conditionn ees par le degr e de connaissance du ph enom` ene ` a caract eriser et de ses causes, eventuellement changeantes. Si lutilisation des probabilit es en s uret e peut relever aussi bien de lapproche fr equenciste que subjectiviste selon les aspects etudi es [151], elle nous semble clairement plus caract eristique de la seconde pour le domaine de la s ecurit e [177]. Enn, aussi bien en s uret e quen s ecurit e, la quantication dun mod` ele probabiliste peut se faire analytiquement, cest-` a-dire en utilisant des formules math ematiques liant directement les param` etres du mod` ele aux valeurs recherch ees, ou par simulation de Monte-Carlo [180, 181]. On y proc` ede ` a un grand nombre de tirages al eatoires des distributions stochastiques d enissant le comportement des composants du mod` ele (on parle dhistoires, ou d echantillons) pour approcher statistiquement les valeurs globales recherch ees. Cette derni` ere approche est extr emement polyvalente et permet de quantier de nombreux types de mod` eles, mais ses performances sont tr` es changeantes et elle peut sav erer co uteuse en temps [176]. En fait, on peut souligner ici une nouvelle di erence entre s uret e et s ecurit e. La performance des approches par simulation de Monte-Carlo est directement li ee ` a la valeur des probabilit es des variables al eatoires du mod` ele simul e : plus elles sont faibles, comme pour les pannes des syst` emes en charge de la s uret e par conception extr emement ables, plus la simulation sera longue. Comme remarqu e dans [182, 183], les mod` eles probabilistes en s ecurit e sappuient sur des probabilit es comparativement plus grandes que celles employ ees en s uret e, car associ ees ` a la malveillance et ` a une volont e dattaquer d ej` a eective. Dans cette situation, les performances des simulations de Monte-Carlo sont bien meilleures. 1.2.5 Autres di erences

Vocabulaire. Les dicult es terminologiques attach ees aux termes m eme de s uret e et s ecurit e ont et e d ebattues dans le Chapitre I. Les communaut es associ ees ayant evolu e s epar ement, elles ont aussi d evelopp e des terminologies propres, parfois di erenci ees selon les secteurs industriels, maniant pourtant des concepts souvent tr` es proches, voire dans certains cas identiques. Ceci peut etre entrevu dans les d enitions de la notion de risque de la Table II.1, et conrm e par lanalyse des r ef erences de la Table I.2 examin ees dans le Chapitre I. Par exemple, le domaine de la s ecurit e privil egiera le terme menace (threat ) alors que le domaine de la s uret e utilisera plut ot danger (hazard ) pour d esigner des concepts g en eralement identiques [21]. A contrario, s uret e et s ecurit e emploieront parfois un m eme terme, mais dans une acception di erente (e.g. incident , ev enement aux cons equences limit ees en s uret e, infraction au sens

28

large en s ecurit e). Plus ambigu encore, un m eme terme peut etre employ e par les deux communaut es, mais dans un sens qui di` ere selon les cas, sans pouvoir etablir de correspondance syst ematique (e.g. vuln erabilit e). Plusieurs eorts dharmonisation de vocabulaire peuvent etre cit es, dont notamment ceux de Stoneburner [184], Deleuze [174], ou de fa con plus inuente, ceux de Laprie et al. dont la vue la plus compl` ete et la plus r ecente est donn ee dans [16]. Dans cette derni` ere approche, evoqu ee dans lIntroduction G en erale, les notions m emes de s uret e et de s ecurit e sont d enies dans un cadre plus large (la s uret e de fonctionnement, ou dependability ) qui sappuie sur une taxonomie compl` ete permettant dint egrer ev enements de type malveillant et de type accidentel. Acc` es ` a linformation et au partage du retour dexp erience. La condentialit e de linformation constitue tout ` a la fois un objectif sp ecique ` a la s ecurit e et une composante forte de sa culture. La nature malveillante des risques consid er es fonde cette di erence marqu ee avec la s uret e, o` u transparence et large acc` es ` a linformation sont le plus souvent recherch es. En s ecurit e, les r ef erentiels de menaces, les evaluations de risques et la description des contre-mesures sont consid er es comme des informations extr emement sensibles, qui pourraient etre exploit ees ` a des ns malveillantes. Ceci-dit, s uret e comme s ecurit e sont renforc ees par l echange des retours dexp erience et des savoir-faire : seules les modalit es associ ees ` a ces echanges di` erent profond ement de par lexigence de condentialit e [142]. Cette exigence reste au cur dun d ebat anim e au sein m eme de la communaut e s ecurit e, car elle est ` a lorigine dune conception fallacieuse dans laquelle le secret surait ` a assurer la s ecurit e (on la d esigne souvent par s ecurit e par lobscurit e ) [10]. Une implication encore plus large de lEtat en s ecurit e. Dans leur approche comparative entre s uret e et s ecurit e nucl eaire [142], Jalouneix et al. font remarquer une implication plus large de lEtat en mati` ere de s ecurit e nucl eaire. Ce constat peut etre elargi ` a la s ecurit e des installations industrielles et des infrastructures critiques. On peut citer plusieurs raisons ` a cette situation. Dune part, alors que les dispositions de s uret e sont g en eralement toutes mises en place par les op erateurs, ces derniers ne peuvent assumer enti` erement les mesures n ecessaires ` a une bonne gestion du risque malveillant : ils nen ont ni les moyens, ni la l egitimit e. LEtat intervient ` a ce titre notamment dans ses missions de renseignement et d evaluation du risque malveillant ; il peut egalement intervenir dans la r eponse par lentremise des forces de lordre ou des autorit es judiciaires ; il edicte les r` egles de condentialit e pour les informations relevant de la s ecurit e nationale et contribue aux enqu etes dhabilitation pour les activit es et les acc` es aux informations sensibles. Dautre part, en s uret e, lop erateur contr ole lorigine du risque puisquil est responsable du syst` eme, alors quen s ecurit e, les menaces sont par nature moins ma trisables et potentiellement ext erieures : lEtat est alors le plus ` a m eme dintervenir.

S uret e et s ecurit e` a travers leurs techniques d evaluation

S uret e et s ecurit e entretiennent des relations subtiles, tiss ees de ressemblances frappantes mais aussi des di erences fondamentales. Elles se re` etent dans les outils et m ethodes d evelopp es par chacune des communaut es. Dans cette section, nous donnons un panorama des techniques les plus commun ement utilis ees pour evaluer le niveau de s uret e ou de s ecurit e dun syst` eme au sens large (produit, installation, organisation), en conception comme en exploitation. Par evaluation nous entendons la caract erisation qualitative ou quantitative du niveau de s uret e ou de s ecurit e dun syst` eme, permettant la comparaison avec des syst` emes equivalents dans un m eme environnement mais ayant pris des dispositions di erentes. Ainsi, il ne sagit pas de faire un catalogue des contre-mesures et des approches contribuant ` a lam elioration de la s uret e ou de la s ecurit e, mais bien de se concentrer sur ce qui va permettre leur evaluation. Le champ ` a couvrir reste n eanmoins tr` es large : d emarches exp erimentales, techniques de mod elisation, approches probabilistes... Nous ne pr etendons pas ` a lexhaustivit e : les techniques pr esent ees ici ont et e choisies sur la base de leur visibilit e dans la litt erature normative, scientique et technique, mais aussi par rapport a ` leur pertinence pour appuyer le contenu de la Section 3 de ce chapitre, inventoriant les inspirations r eciproques entre s uret e et s ecurit e, et le reste de ce m emoire. Cette s election donne une image repr esentative des bo tes ` a outils de chaque domaine, avec en ligrane, les similarit es et di erences caract erisant s ecurit e et s uret e telles que discut ees pr ec edemment.

29

2.1
2.1.1

Consid erations pr eliminaires

Des bo tes ` a outils pour l evaluation ?

Cette expression semble en eet appropri ee aussi bien pour la s ecurit e que pour la s uret e. Dans les deux cas, l evaluation est un processus complexe et approximatif, etant donn e la complexit e des ph enom` enes et des syst` emes consid er es. Elle implique bien souvent la combinaison de di erentes techniques, aux contours parfois ous et aux ramications souvent nombreuses. Ainsi, certaines techniques font appel implicitement ou explicitement ` a dautres, pourtant pr esent ees comme distinctes. Dautres encore changent de d esignation selon leur domaine dapplication, alors que dans certains cas, une m eme d enomination cache des outils distincts. Nous t acherons didentier les eventuelles ambigu t es, et de fournir ` a chaque fois les r ef erences les plus largement admises. 2.1.2 Liens entre s uret e, abilit e et s uret e de fonctionnement

La s uret e, comme la s ecurit e, est une propri et e emergente, apparaissant au niveau du syst` eme alors que tous ses composants interagissent [185]. Elle ne se confond pas avec la abilit e, qui sint eresse uniquement aux pannes du syst` eme ou ` a celles de ses composants, sans pr eoccupation pour les cons equences sur lenvironnement du syst` eme. Un syst` eme peut etre able sans etre s ur (si la r ealisation de ses fonctions comporte intrins` equement un risque s uret e), r eciproquement, il peut etre s ur sans etre able (quand les pannes am` enent syst ematiquement le syst` eme dans une position de repli sans danger) [18]. Toutefois, une connexion forte existe entre les deux notions. Ainsi, la s uret e dun syst` eme d epend de fonctions de s uret e bien identi ees, en charge d eviter les comportements dangereux ou de limiter leurs cons equences. Les sous-syst` emes portant ces fonctions doivent avoir un haut niveau de abilit e et/ou de disponibilit e : l evaluation de la s uret e passe alors par des evaluations de abilit e ou de disponibilit e, et plus g en eralement, par des etudes de s uret e de fonctionnement au sens pr ecis e dans lIntroduction G en erale. Aussi, bon nombre doutils pr esent es en Section 2.2 rel` event en fait plus directement du domaine de la abilit e et de la s uret e de fonctionnement, mais sont mis en uvre dans les etudes de s uret e, de nature plus syst emique. 2.1.3 Monde num erique et monde physique

Dans le panorama des outils d evaluation de la s uret e, nous nous int eressons ` a tout type de syst` emes, quils soient informatiques, electrotechniques ou m ecaniques. Quand une technique sapplique ` a un type particulier de syst` eme, nous le pr ecisons. Si la s uret e, telle que nous la consid erons, sint eresse in ne aux risques accidentels sur lenvironnement physique du syst` eme, ces risques peuvent avoir pour origine des dysfonctionnements aussi bien physiques que logiciels. Dans le domaine de la s ecurit e, nous concentrons par contre notre panorama sur les outils relevant principalement de la s ecurit e informatique, m eme si certains peuvent etre egalement employ es pour la s ecurit e physique (parfois appel ee protection physique).

2.2

Quelques techniques pour l evaluation de la s uret e

Nous pr esentons dans cette section une s election de techniques, dont la Table II.4 p. 41 donne une vue densemble. Des inventaires plus complets peuvent etre trouv es par exemple dans les normes [186] et [187]. Des ouvrages de r ef erence en s uret e de fonctionnement (e.g. [188, 176]) permettront aussi de compl eter ou approfondir ce panorama. 2.2.1 Approches qualitatives structur ees

Analyse pr eliminaire de danger. Lanalyse pr eliminaire de danger est une m ethode inductive simple, visant ` a identier les dangers dun syst` eme ou dune installation et ses causes (situations, ev enements), en amont dans la conception, avec peu dinformations. L evaluation est macroscopique, elle doit comme son nom lindique etre consid er ee comme pr eliminaire ` a des etudes plus approfondies. Elle aboutit ` a une liste de dangers et de risques, ainsi qu` a des recommandations de type acceptation ou d eploiement de contre-mesures. Elle sappuie pour cela sur des tableaux et check-lists etablis par des experts du domaine consid er e. Des evaluations quantitatives sont possibles, on parle alors souvent dana lyse pr eliminaire de risque. Cette m ethode a et e mise au point au d ebut des ann ees 60 aux Etats-Unis pour lanalyse de la s uret e de missiles, et sest depuis g en eralis ee ` a tous les secteurs industriels ` a risques. 30

AMDE et AMDEC. LAnalyse des Modes de D efaillance et de leurs Eets (AMDE, ou FMEA en anglais) [189] a aussi et e mise au point dans les ann ees 60 aux Etats-Unis dans le domaine de la eronautique. Elle reste tr` es appr eci ee de par sa simplicit e, notamment dans lautomobile, la eronautique et le ferroviaire, mais aussi le logiciel. Elle se base sur lutilisation de grands tableaux sur un mode qualitatif et inductif, d eclin es selon le secteur. Un examen des d efaillances potentielles des composants du syst` eme permet didentier et caract eriser les cons equences. Sa version augment ee, lAMDEC (le C pour Criticit e, FMECA en anglais) prend en compte la notion de gravit e des cons equences, sur un mode qualitatif ou eventuellement quantitatif. Revers de leur simplicit e, AMDE et AMDEC ne permettent pas de prendre en compte les d efaillances multiples. HAZOP (HAZard and OPerability studies). HAZOP est une technique essentiellement qualitative, mais fortement structur ee et syst ematique. Elle permet didentier des dangers potentiels sous forme de perturbations et de d eviations dun fonctionnement nominal. Causes et solutions sont aussi caract eris ees. HAZOP sarticule autour dune phase dexamen men ee par une equipe multidisciplinaire. Lemploi de mots-guides (guide words ) permet de syst ematiser les analyses, structur ees sous la forme de tableaux comme illustr e par la Table II.2. Mise au point dans lindustrie chimique dans les ann ees 60 [190], elle a depuis et e adapt ee ` a de nombreux secteurs et reste pr edominante dans le p etrochimique et lanalyse des syst` emes thermo-hydrauliques [191]. Elle peut sinscrire en compl ement dautres techniques, notamment pour compenser son incapacit e` a couvrir les d efaillances multiples [186]. La norme [192] donne une description g en erale, mais de nombreuses d eclinaisons sectorielles existent. En outre, les mots-guides sont alors modi es pour etre adapt es au contexte consid er e. On trouve par exemple des d eclinaisons pour le logiciel comme SHARD [193] ou celles d ecrites dans [194]. Table II.2 Mots guides typiques [192] et exemple de pr esentation de r esultats HAZOP
Mot-guide NE PAS FAIRE PLUS MOINS EN PLUS DE PARTIE DE INVERSE No D eviation Causes Signication N egation totale de lintention de conception Augmentation quantitative Diminution quantitative Modication/augmentation qualitative Modication/diminution qualitative Contraire logique de lintention de conception Pr eventions Actions ` a mener Probabilit e Gravit e

Cons equences

Analyse des conditions insidieuses et Analyse transitoire (Sneak analysis). Invent ee dans les ann ees 60 par Boeing, lanalyse des conditions insidieuses a rapidement et e adopt ee par la NASA pour v erier les circuits electriques de ses appareils, notamment dans le programme Apollo [195]. Elle a inspir e une approche au champ dapplication plus large, lanalyse transitoire. Cette derni` ere sapplique au mat eriel comme au logiciel, et permet de sint egrer avec dautres outils comme lAMDEC, les arbres de d efaillances ou HAZOP. Lobjectif est de rep erer en conception des conditions insidieuses latentes (sneak conditions ) susceptibles d echapper aux tests classiques et de provoquer des dysfonctionnements majeurs. Des r eseaux arborescents repr esentent les fonctions du syst` eme et les entr ees inuen cant ces fonctions. Des for ets regroupent ces r eseaux et repr esentent les liens entre entr ees et sorties du syst` eme. Une condition insidieuse est un chemin impr evu qui dans certaines conditions peut provoquer un comportement ` lorigine de nature ind esirable. A electrique, un chemin peut repr esenter plus largement une s equence logique et se composer d el ements mat eriels, logiciels ou humains (actions op erateur). La m ethode est surtout employ ee dans lindustrie spatiale [196, 197], militaire [198] et nucl eaire [199] aux Etats-Unis. Zonal Hazard Analysis (ZHA) / Zonal Safety Analysis (ZSA). Contrairement aux m ethodes d ecoupant le syst` eme consid er e de fa con fonctionnelle, lanalyse de zone sint eresse ` a la r epartition spatiale de ses composants. Elle etudie plus particuli` erement comment la proximit e physique de certains composants peut aboutir ` a des d efaillances, m eme sils sont fonctionnellement ind ependants. Elle a et e d evelopp ee dans lindustrie a eronautique pour prendre en compte les interactions de syst` emes pr esents 31

dans une m eme zone physique de lappareil (ailes, soute) [200]. Par exemple, la ZHA prendra ainsi en compte la proximit e de syst` emes de nature hydraulique avec dautres, a priori ind ependants, mais de nature electrique. On retrouve ces consid erations, et des approches m ethodologiques comparables, dans dautres industries ` a risques dont le nucl eaire. 2.2.2 Approche par conformit e` a des r ef erentiels

Ces approches sont tr` es courantes dans le domaine du logiciel de s uret e. La norme IEC 61508 [110], qui se veut g en erique et centrale, joue eectivement un r ole cl e dans ce paysage : on peut en fait y distinguer les normes sectorielles qui ne se sont pas, ou peu, rattach ees ` a lIEC 61508, pour des raisons industrielles ou historiques, et celles toujours plus nombreuses qui en constituent des d eclinaisons. Dans la premi` ere cat egorie, on citera notamment la DO-178B [76] pour lavionique. Dans la seconde se trouvent par exemple les r ef erences [82, 83] pour le domaine ferroviaire. De fa con interm ediaire, on peut citer lIEC 61513 [58] pour le nucl eaire qui sur la forme d ecline lIEC 61508, mais dont les normes lles, issues dun long pass e industriel, prennent en fait de grandes libert es par rapport ` a celle-ci. Si toutes reposent sur une classication en niveaux de criticit e, les normes ayant r esist e au rattachement ` a lIEC 61508 proposent g en eralement un cadre m ethodologique nexigeant pas la mise en uvre de techniques sp eciques de s uret e de fonctionnement, alors que lIEC 61508 sav` ere plus prescriptive. LIEC 61508. LIEC 61508 [110] couvre tous les aspects du cycle de vie des syst` emes en charge de fonctions de s uret e, qui permettent de pr evenir et r eduire les risques daccidents sur les utilisateurs et lenvironnement. En particulier, des cibles quanti ees sont pr ecis ees quant au niveau de d efaillance admissible pour des fonctions de s uret e selon la criticit e de leur t ache, aussi bien pour les equipements E/E/EP (Electriques/ Electroniques/ Electroniques Programmables) que pour le logiciel. Quatre niveaux dint egrit e de s ecurit e (ou SIL, pour Safety Integrity Levels ) 11 les graduent. Di erentes techniques et m ethodologies, couvrant de la sp ecication jusquaux tests, sont prescrites selon le niveau ` a atteindre. La documentation exig ee ` a chaque etape du cycle de d eveloppement est egalement pr ecis ee. La DO-178B. La DO-178B [76] est ` a lorigine une recommandation produite et edit ee conjointement par les organismes RTCA et EuroCAE en 1992. Elle a aujourdhui un statut de norme internationale de facto. Elle pr ecise les exigences relatives aux processus de d eveloppement des logiciels critiques pour la s uret e (en fait, la navigabilit e , ou airworthiness en anglais) en a eronautique, en vue de leur certication. Cinq niveaux dassurance de d eveloppement croissants (DAL, pour Development Assurance Level ) y sont distingu es, attribu es selon limpact le plus s ev` ere dune d efaillance du logiciel consid er e. ` chaque DAL correspond des exigences organis A ees sur un mode cumulatif : les exigences dun niveau sajoutent ` a celles du niveau inf erieur. Au niveau le plus bas, le d eveloppement logiciel nest soumis ` a aucune contrainte. D` es le second niveau, tous les processus li es au d eveloppement doivent saccompagner dune documentation. Cela concerne ainsi la phase de planication du d eveloppement, le processus de d eveloppement proprement dit, la v erication, la gestion de conguration et le processus dassurance qualit e. Pour chaque processus, les DAL d enissent les objectifs et les donn ees ` a fournir pour d emontrer leur atteinte, sans pour autant imposer une m ethode sp ecique. Les preuves n ecessaires ` a la certication des logiciels sont ` a la charge des avionneurs. Notons pour nir quapr` es plus de vingt-cinq ans de service, une nouvelle version de la DO-178/ED-12 est pr evue pour 2012. 2.2.3 Approches quantitatives par mod` eles probabilistes statiques

Diagrammes de abilit e. Les diagrammes de abilit e (ou RBD pour Reliability Block Diagrams ) [201] d ecoupent le syst` eme analys e en blocs fonctionnels, et les connectent en circuits s eries ou parall` eles selon leur n ecessit e au fonctionnement global du syst` eme. Le chemin form e est g en eralement proche de la conguration physique, facilitant la mod elisation. Les blocs ont un comportement binaire fonctionnement/panne, mod elis e par des processus stochastiques. Le syst` eme est consid er e comme op erationnel tant que le signal de fonctionnement peut traverser le diagramme de gauche ` a droite (de I ` a O sur la Figure II.2). On peut alors rechercher les combinaisons de d efaillances menant ` a la panne, et quantier disponibilit e et abilit e du syst` eme. La Figure II.2 montre un syst` eme comportant un composant A non
11. Nous retrouvons ici les ambigu t es de traduction discut ees dans le Chapitre I, safety etant traduit par lIEC en s ecurit e dans les documents en fran cais.

32

redondant, et dont la d efaillance provoque la d efaillance de tout le syst` eme ; les autres composants B et C sont redond es. Les RBD ne sont utilis es que pour des cas tr` es simples. Mod` ele statique, une version dynamique a et e d evelopp ee mais reste essentiellement acad emique [202].
B1 A B2 C2 C1

Figure II.2 Exemple de RBD mixte avec redondance

Arbres de d efaillances (Fault Trees). Les arbres de d efaillances ont et e d evelopp es au d ebut des ann ees 60 par les laboratoires Bell pour l evaluation de la abilit e du lancement de missiles intercontinentaux. Ils ont rapidement et e adopt es par lindustrie a eronautique, avant de se g en eraliser ` a de nombreux autres domaines [203]. Avec leur capacit ea ` int egrer les d efaillances multiples, les arbres de d efaillances compl` etent souvent lAMDE(C) dans les industries ` a risques, comme dans le nucl eaire [204] ou le spatial [205]. Notons quils ont egalement et e adapt es au domaine logiciel, notamment pour les logiciels critiques en termes de s uret e [206]. Le principe est simple et puissant : dans une approche d eductive, on y articule graphiquement les causes dun ev enement redout e dans un arbre logique. L ev enement redout e constitue le sommet (top event ), les causes el ementaires sont les feuilles, qui mod elisent des ev enements binaires de type panne/fonctionnement et qui sont reli ees par des portes bool eennes. Initialement simples OU et ET logiques, elles se sont progressivement diversi ees, incluant portes k/n (v eri ee si et seulement si au moins k entr ees sur les n de la porte sont vraies), THEN (imposant un ordre d ev enement), etc. (cf. [207]). Il est alors possible didentier les coupes minimales, plus petits ensembles d ev enements devant se produire pour causer l ev enement redout e, et de quantier les probabilit es doccurrence de celui-ci en associant des probabilit es aux feuilles. Les contributions de chaque feuille peuvent egalement etre evalu ees. La Figure II.3 donne un exemple simple darbre de d efaillances (pour le syst` eme pr ec edemment mod elis e en RBD) et d ecrit les composants graphiques principalement employ es dans ce formalisme. Les grands principes de quantication peuvent etre trouv es par exemple dans [152] tandis que des explications plus d etaill ees sont disponibles notamment dans [188, 207, 204, 205].
Symbole Top Event Nom et description Description dun vnement intermdiaire ou de lvnement redout vnement de base (gnralement paramtr) vnement non dvelopp (qui reste dfinir) A B1.B2 C1.C2 Porte de transfert (renvoie vers un autre arbre) Porte ET (vrifie si tous les vnements dentre sont vrifis) B1 B2 C1 C2 Porte OU (vrifie si au moins un des vnements dentre est vrifi)

Figure II.3 Exemple simple darbre de d efaillances et symboles classiquement associ es La technique dorigine est purement statique, mais une version dynamique a et e d evelopp ee d` es le d ebut des ann ees 90. Nous lui consacrons un paragraphe de la Section 2.2.4. La technique des arbres de d efaillances est sans doute une des techniques les plus utilis ees industriellement en s uret e de fonctionnement ; elle est largement outill ee par des logiciels sp ecialis es. On peut par exemple citer des outils 33

d evelopp es par les grands instituts de recherche du domaine nucl eaire comme SAPHIRE de lIdaho Na tional Lab aux Etats-Unis, ou ASTRA du Joint Research Center (JRC) de la Commission europ eenne [208] ; de nombreuses suites commerciales sont aussi disponibles. Arbres d ev enements (Event Trees). Les arbres d ev enements ont et e introduits en 1975 pour evaluer le risque de fusion du cur des centrales nucl eaires etats-uniennes [209]. Contrairement aux arbres de d efaillances, ils reposent sur une approche inductive : ils mod elisent sous la forme darbres les s equences accidentelles pouvant d ecouler d ev enements dits initiateurs pr ealablement identi es. Un embranchement probabilis e de larbre repr esente la r eussite ou l echec dune contre-mesure visant ` a limiter les cons equences de l ev enement initiateur. La Figure II.4 donne un exemple el ementaire darbre d ev enements mod elisant les cons equences dune pression trop elev ee dans une canalisation, et quantiant le risque de rupture malgr e deux soupapes. Contrairement ` a leur apparence, les arbres d ev enements ne mod elisent pas laspect s equentiel et rel` event dune approche purement statique et combinatoire : une telle ambigu t e s emantique est bien soulign ee dans [176]. Ils sont souvent employ es de fa con combin ee avec les arbres de d efaillances, ces derniers pouvant servir ` a caract eriser les probabilit es des embranchements (technique dite de fault-tree linking [210]). Ils sont surtout utilis es dans lindustrie chimique [211] et lindustrie nucl eaire. Dans cette derni` ere, ils servent de base aux EPS (Etudes Probabilistes de S uret e) appuyant les dossiers de s uret e des centrales nucl eaires examin es par les autorit es de r egulation [151].

vnement initiateur

Soupape 1 Ouverture

Soupape 2

Consquence La pression dcroit

Pression trop leve chec PA PB

Ouverture

La pression dcroit

chec Explosion PC PA.PB.PC

Figure II.4 Exemple simpli e darbre d ev enements

Diagrammes Cause-Cons equence. Invent es par les laboratoires Ris au Danemark [212] pour les etudes de s uret e des centrales nucl eaires, les diagrammes Cause-Cons equence int` egrent dans un m eme formalisme graphique approche d eductive de type arbre de d efaillances et approche inductive de type arbre d ev enements. Elles sont combin ees par des portes OUI/NON, mod elisant la r ealisation de conditions particuli` eres ou de d efaillances de dispositions con cues pour limiter les cons equences dun ev enement initiateur. Les causes des conditions ou des d efaillances sont analys ees par des arbres de d efaillances. Un exemple de principe est donn e en Figure II.5 : lissue des deux portes OUI/NON est conditionn ee par deux arbres de d efaillances. Malgr e une d enition bien formalis ee et lavantage dint egrer approches d eductive et inductive, les diagrammes Cause-Cons equence ne semblent avoir et e employ es de fa con limit ee que dans lindustrie nucl eaire [213, 214], et de fa con encore plus marginale dans le domaine logiciel [215, 19] et lindustrie ferroviaire [216]. La r ef. [217] d etaille comment obtenir des quantications aux performances comparables avec celles des arbres de d efaillances et des arbres d ev enements. R eseaux bay esiens. Les r eseaux bay esiens constituent un formalisme math ematique aux nombreux d ebouch es (intelligence articielle, m edical,...) et trouvent une place grandissante dans les mod` eles de s uret e et de abilit e depuis une quinzaine dann ees [218]. Issus des travaux de Pearl dans les ann ees 80 [219], ils repr esentent un ensemble de variables al eatoires, sous forme de nuds, et leurs relations probabilistes, sous forme de ` eches orient ees selon le sens de linuence, formant un graphe orient e sans circuit. Chaque variable al eatoire est d enie par une table de probabilit es conditionnelles relatives aux autres variables dont elle d epend. La conception sous-jacente est celle initi ee par Bayes au xviiie si` ecle [220], fondamentalement subjectiviste au sens pr ecis e dans la Section 1.2.4, et qui formalise le fait que la probabilit e dun ev enement puisse etre progressivement ajust ee par des ev enements subs equents [179]. La 34

Description de la consquence

Description de la consquence

Description de la consquence

Non

Oui

Condition

Non

Oui

Condition

Pression trop leve

(vnement initiateur)

B1

B2

C1

C2

Figure II.5 Exemple simpli e de diagramme Cause-Cons equence

formalisation math ematique repose sur lexpression de probabilit es conjointes par des probabilit es conditionnelles par lutilisation du th eor` eme de Bayes. Une introduction de leurs principes et leur utilisation en s uret e et abilit e est donn ee par Bouissou dans [176], un panorama plus complet et un historique sont donn es par Langseth et Portinale dans [218]. Une pr esentation compl` ete peut etre trouv ee dans [221]. Lint er et port e aux r eseaux bay esiens est notamment li e ` a leur extr eme polyvalence : ils permettent daborder des aspects aussi vari es que lanalyse de retour dexp erience, le diagnostic, la pr evision, loptimisation, la d etection d ecarts ou encore lactualisation de mod` ele. On peut aussi noter que les arbres de d efaillances peuvent etre consid er es comme un cas particulier de r eseaux bay esiens [222]. Ceci-dit, malgr e leurs avantages incontestables, leur emploi en s uret e et abilit e reste encore tr` es acad emique, alors quil est d ej` a bien etabli dans dautres domaines (e.g. intelligence articielle). De nombreux outils logiciels sont disponibles pour leur traitement (e.g. ceux de la soci et e Bayesia, ou encore Netica). 2.2.4 Approches quantitatives par mod` eles probabilistes dynamiques

Les mod` eles dynamiques, dit aussi comportementaux, orent des capacit es de mod elisation plus puissantes que celles des mod` eles statiques, mais sont aussi plus diciles ` a construire et analyser. Il sagit donc de trouver un juste compromis. Dans son livre [176], Bouissou r esume les arguments en faveur de chaque cat egorie, et rappelle ainsi qu` a EDF, apr` es avoir recouru ` a des approches dynamiques, les m ethodes bool eennes statiques ont nalement et e retenues pour les etudes probabilistes de s uret e des centrales nucl eaires, apportant un meilleur compromis entre eort, qualit e des r esultats et facilit e d echange avec les parties-prenantes. Mod` eles et graphes de Markov. Les techniques de mod elisation dites markoviennes sont couramment employ ees pour mod eliser des syst` emes avec d ependances, redondances, ou comportements s equentiels. Souples et polyvalentes, elles permettent de prendre en compte les r eparations et des strat egies de maintenance elabor ees [188, 223]. En g en eral, les techniques de Markov sappuient sur un graphe ` a etats discrets repr esentant le comportement du syst` eme dans le temps. Chaque etat du graphe repr esente un etat du syst` eme d eni par la combinaison de l etat de fonctionnement de ses composants. Lors de la d efaillance ou du r etablissement dun composant, le syst` eme passe dun etat ` a un autre. Les transitions sont caract eris ees par des lois de probabilit es exponentielles param etr ees par des taux de d efaillance () et des taux de r eparation (). Dans tous les cas, la propri et e de Markov est v eri ee, en dautres termes, les transitions sont sans m emoire : tout le pass e du syst` eme est r esum e par son etat pr esent. 35

Il existe di erentes congurations : les taux de transitions peuvent etre constants (processus de Markov homog` ene) ou variables (non homog` ene), le temps peut etre consid er e comme discret ou continu. Notons quen fran cais, lexpression cha ne de Markov semploie, en principe, uniquement dans les cas despaces discrets d enis en temps discret, alors quen anglais, Markov chain est employ ee en temps discret ou continu. Lutilisation la plus courante des mod` eles de Markov dans les etudes de s uret e de fonctionnement reste celle dun espace ` a etats discrets en temps continu [176]. Leur etude n ecessite la r esolution dun syst` eme d equations di erentielles lin eaires du premier ordre et ` a coecients constants, dites de Chapman-Kolmogorov [188]. De nombreuses m ethodes, comme lexponentiation de matrices et les transform ees de Laplace, permettent de r esoudre ce type d equations et dobtenir abilit e, disponibilit e et maintenabilit e en fonction du temps. Le calcul des valeurs moyennes type MTTF (Mean Time To Failure ), MTBF (Mean Time Between Failures ), etc. est egalement possible. Des ouvrages comme [188] ou [224] exposent de fa con d etaill ee les techniques de lanalyse markovienne pour la s uret e. Leur emploi direct reste cependant rare car rapidement soumis au risque dexplosion combinatoire : on recourt souvent a des mod` ` eles de plus haut niveau [176] comme les r eseaux de Petri ou les BDMP (cf. pages suivantes). Nous pr esentons ici la d emarche de mod elisation par graphe de Markov pour lexemple simple dun syst` eme ` a deux el ements redond es. Les formules et quantications associ ees peuvent etre trouv ees dans [223]. Un composant nayant que deux etats, 0 pour fonctionnel et 1 pour d efaillant, les etats possibles du syst` eme sont (0, 0), (1, 0), (0, 1) et (1, 1). Si lon consid` ere un syst` eme en s erie, (0, 0) est le seul etat de fonctionnement, les trois autres correspondant ` a des etats de d efaillance. Mis en redondance, (0, 0), (0, 1), (1, 0) correspondent alors aux etats de fonctionnement. Le graphe de Markov dun syst` eme redondant 1 sur 2 sans r eparation possible est donn e en Figure II.6a). Dans celle-ci, les num eros d etats 0, 1, 2 et 3 correspondent aux etats (0, 0), (0, 1), (1, 0) et (1, 1). Les arcs correspondent aux transitions dun etat ` a lautre, selon les taux de d efaillance de chaque composant. Si le syst` eme est r eparable, des arcs retours sont ajout es, comme dans la Figure II.6b) avec les taux de r eparation correspondants.
a) 1 0 2 1 2 1 2 1 3 0 2 2 b) 1 1 2 1 1 3 2

Figure II.6 Graphes de Markov dun syst` eme ` a deux composants Notons pour nir que certaines etudes font appel ` a des processus plus g en eraux, dit semi-markoviens, pour lesquels les probabilit es de transition dun etat vers un autre ne d ependent que du temps ecoul e depuis larriv ee dans l etat consid er e [188]. Ce type de processus conduit ` a un syst` eme d equations pouvant aussi etre r esolues analytiquement. Arbres de d efaillances dynamiques (ou DFT, pour Dynamic Fault Trees). Les arbres de d efaillances dynamiques ont et e introduits par Dugan aux Etats-Unis au d ebut des ann ees 90 [225, 226] pour d epasser les limites dues ` a la nature statique des arbres de d efaillances classiques. Ils visent ` a associer les capacit es de mod elisation dynamique propres aux mod` eles markoviens ` a un formalisme proche des arbres de d efaillances. Pour cela, plusieurs portes dynamiques, d ecrites dans la Table II.3, sont introduites ; elles peuvent etre combin ees avec des portes statiques [227]. Les quantications se font sur la base des techniques danalyse markovienne d ecrites pr ec edemment. Les premiers cas dutilisation se sont concentr es sur des syst` emes informatiques [225, 226]. Une litt erature abondante, essentiellement issue de luniversit e de Virginie, caract erise les DFT. Plusieurs outils informatiques permettent la saisie et la quantication des mod` eles (e.g. Galileo [228] de luniversit e de Virginie, ou la solution commerciale de Relex). Lutilisation industrielle principale des DFT semble etre la erospatiale [205, 229] : les dicult es des DFT ` a mod eliser des syst` emes r eparables, sp eciquement discut ees dans le Chapitre III Section 4.4, y ont en eet moins dimportance que dans dautres contextes.

36

Table II.3 Pr esentation des portes sp eciques aux DFT

Symbole Nom et description Porte Squence (B ne peut se raliser quaprs A, la porte est vrifie si A et B sont vrifis) Porte de Dpendance Fonctionnelle (la ralisation de C dclenche la ralisation de A et B) Porte de Redondance froid (Cold Spare) (A est lvnement de base principal, B lvnement de base redondant)

SEQ (A) (B)

(C)

FDEP (A) (B)

CSP (A) (B)

R eseaux de Petri (Petri nets). Les r eseaux de Petri ont et e invent es au d ebut des ann ees 60 par Carl Adam Petri [230] et ont fait lobjet depuis dune abondante litt erature et dapplications extr emement vari ees, d epassant largement le cadre de la s uret e. Tr` es puissants, ils permettent la sp ecication graphique dinteractions complexes entre les composants dun syst` eme, telles que concurrences, conits, synchronisations, boucles, exclusions mutuelles ou encore partages de ressources. En fait, il sagit plus aujourdhui dune famille de formalismes ayant un certain nombre de caract eristiques communes que dun formalisme unique pr ecis ement d eni. Le nombre de d eclinaisons et dextensions est en eet tr` es important (nous en avons d enombr e plus dune trentaine, nous nen citerons ici que quelques unes). Ceci-dit, toutes sappuient sur les notions de places, de transitions et de jetons dont la Figure II.7 donne les repr esentations graphiques. Les places, repr esent ees par des cercles, mod elisent au gr e de lanalyste di erentes evolutions ou conditions du syst` eme. Les transitions, repr esent ees par des barres, correspondent ` a des ev enements susceptibles de faire evoluer l etat du syst` eme. Des arcs relient les places et les transitions. L evolution de l etat du syst` eme est mod elis ee par la circulation de jetons entre les di erentes places du r eseau, au gr e des transitions et des arcs. Lintroduction de la notion de temps dans les r eseaux de Petri est faite d` es les ann ees 70 [231], mais de fa con d eterministe. Les r eseaux de Petri stochastiques (ou SPN, pour Stochastic Petri Nets ), introduits au d ebut des ann ees 80 dans les travaux de th` ese de Natkin [232] en France, et ceux de Molloy [233] aux Etats-Unis, associent les changements d etat du syst` eme ` a des dur ees al eatoires, mod elis ees par des processus stochastiques. Dans les SPN, seules des distributions exponentielles sont consid er ees. Le SPN est alors equivalent ` a un graphe de Markov en temps continu, et toutes les evaluations classiquement oertes par les mod` eles markoviens sont permises. Les GSPN (Generalized SPN ) [234] ajoutent aux transitions exponentielles, dites temporis ees, des transitions probabilis ees de dur ee nulle, dites imm ediates. On les di erencie graphiquement par un trait plein au lieu du trait creux alors utilis e pour les transitions temporis ees, comme illustr e dans la Figure II.8. Le processus global d eni par le r eseau de Petri reste markovien, et l` a encore, toutes les techniques classiques sappliquent. SPN et GSPN d enissent de fa con compacte des graphes de Markov potentiellement tr` es grands : revers de la m edaille, leur quantication est rapidement confront ee ` a des probl` emes dexplosion combinatoire [176]. Citons enn les SAN (Stochastic Activity Networks ) [235], qui peuvent etre consid er es comme une forme etendue des r eseaux de Petri, substituant les transitions par des composants nomm es activit es, portes dentr ee et portes de sortie, largement param etrables et elargissant encore les capacit es de mod elisation. Une des premi` eres utilisations des r eseaux de Petri en s uret e est propos ee par Leveson et Stolzy en 1987 [236]. Ils sont depuis employ es dans ce cadre ` a divers titres, notamment pour la mod elisation de syst` emes de contr ole-commande [237]. Leur puissance et leur polyvalence ont stimul e le d eveloppement de nombreux supports logiciels pour leur saisie et leur traitement (on citera dans le domaine universitaire loutil SPNP de luniversit e de Duke, GreatSPN du Politecnico de Turin, TimeNet de luniversit e de Hambourg, ou encore pour les SAN, M obius de luniversit e dIllinois). Notons enn que luniversit e de Hambourg maintient une page web extr emement compl` ete sur tous les sujets attenant aux r eseaux de Petri 12 , et une bibliographie denviron 8500 r ef erences sur le th` eme.
12. http://www.informatik.uni-hamburg.de/TGI/PetriNets/

37

t2

Place dentre

Transition

Place de sortie
t1 t3

p3

p4 p1 p2 t4 p5

Jeton

Arc dentre

Arc de sortie

Figure II.7 Composants dun r eseau de Petri

Figure II.8 Exemple de r eseau de Petri

Les BDMP (Boolean logic Driven Markov Processes). Les BDMP ont et e introduits par Bouissou ` a EDF au d ebut des ann ees 2000 [238]. Ils combinent laspect visuel et la lisibilit e des arbres de d efaillances avec des capacit es de mod elisation propres aux cha nes de Markov. Ils se di erencient des DFT par une s emantique plus lisible et une formalisation math ematique plus rigoureuse. Une pr esentation compl` ete des BDMP est donn ee dans le Chapitre III (ainsi quune comparaison argument ee avec les DFT et les r eseaux de Petri). Leur support logiciel y est egalement evoqu e. 2.2.5 Les langages de mod elisation probabiliste

Les mod` eles jusquici pr esent es sont construits ` a la main et saisis pour quantication dans des outils logiciels adapt es : dune part, cette construction demande beaucoup de temps et dexpertise, dautre part elle est peu r eutilisable. Pour lever ces limites, des langages de mod elisation probabiliste ont et e sp ecialement d evelopp es, permettant de sp ecier un syst` eme de telle sorte ` a pouvoir instancier automatiquement des mod` eles abilistes comme ceux pr ec edemment d ecrits (arbres de d efaillances, r eseaux de Petri, graphes de Markov, etc.) et passer selon les cas dun formalisme ` a lautre par simple transformation. Les deux principaux repr esentants en France sont Figaro [239] et AltaRica [240]. Figaro, cr e e au d ebut des ann ees 90 ` a EDF est plus g en eral quAltaRica [241], cr e e plus tardivement au Labri 13 . Les deux sont utilis es industriellement, essentiellement dans le domaine electrique (production et r eseaux) pour le premier et dans la eronautique pour le second, et sont outill es de fa con compl` ete et performante [242, 243, 244]. La r ef. [241] donne une comparaison d etaill ee des deux langages. Notons quil existe aussi des langages de mod elisation plus g en eraux, qui peuvent etre d eclin es ` a des ns de mod elisation de s uret e de fonctionnement. Dans le domaine logiciel, cest par exemple le cas du langage danalyse et de conception darchitectures AADL 14 [245] employ e principalement dans lavionique et lindustrie automobile pour la conception de syst` emes embarqu es. Rugina donne dans sa th` ese une bonne introduction ` a AADL et pr esente comment il peut etre utilis e en s uret e de fonctionnement, en le couplant avec des r eseaux de Petri [246]. Cependant, si lutilisation de langages de mod elisation plus g en eriques permet d elargir la communaut e utilisatrice, elle se fait souvent au d etriment de la souplesse et de la facilit e dutilisation des langages plus sp ecialis es. 2.2.6 Tableau r ecapitulatif

La Table II.4 donne dans les pages suivantes une vision synth etique des di erents outils et techniques d evaluation pr esent es pour le domaine de la s uret e.

13. Laboratoire Bordelais de Recherche en Informatique (Labri). 14. Architecture Analysis & Design Language (AADL, http://www.aadl.info).

38

Table II.4: Synth` ese des techniques d evaluation de s uret e pr esent ees Description M ethode didentication simple de type inductif ` a base de tableaux et de check-lists. R esultats qualitatifs Liste partielle de dangers et de risques, recommandations. R esultats quantitatifs Non syst ematique (selon type danalyse). R ef. [188] Origines Ann ees 60, s uret e des missiles aux Etats-Unis.

Technique Analyse Pr eliminaire de Danger

Utilisation G en eralis ee. Stade pr eliminaire de conception.

AMDE(C) Caract erisation des cons equences (et de leur gravit e pour lAMDEC).

Utilisation de tableaux sur un mode qualitatif et inductif, d eclin es selon le secteur.

Liste des d efaillances.

Non syst ematique (calcul de taux de d efaillance et de gravit e possible).

Limites N ecessite d etre approfondie par dautres m ethodes (AMDEC, HAZOP, etc.). Pas de d efaillances multiples. Pas de d efaillances multiples. Fastidieux pour les syst` emes comportant de nombreux el ements. IEC 60812 [189] Pas de d efaillances multiples. Fastidieux. IEC 61882 [192] [191, 194]

Ann ees 60 aux EtatsUnis dans le domaine de la eronautique.

HAZOP

M ethode syst ematique et structur ee de type inductif. Utilise des mots-guides codi es et des tableaux. Cons equences et recommandations aussi abord ees.

Identication de dangers par ecart vis-` a-vis dun comportement attendu.

Non syst ematique (d epend de la version et de lutilisation).

Ann ees 60, industrie chimique.

39
Mod elisation des relations entre entr ees et sorties du syst` eme par r eseaux arborescents et for ets. Identication de chemins impr evus pouvant provoquer un comportement ind esirable. Non. Int egrative (sarticule avec HAZOP, AMDEC, etc.). Analyse de la r epartition physique des composants dun syst` eme. Identication de d ependances entre syst` emes jug es a priori ind ependants. Non.

Analyse des Conditions Insidieuses Analyse transitoire (Sneak analysis)

Expertise n ecessaire. Forme tr` es d ependante du domaine dapplication.

[196, 197] (Spatial) [198] (Militaire) [199] (Nucl eaire)

Ann ees 60, a eronautique et spatial (programme Apollo) aux Etats-Unis.

Zonal Hazard Analysis (ZHA) / Zonal Safety Analysis (ZSA)

G en eralis ee (et plus particuli` erement automobile, a eronautique, ferroviaire, logiciel). Analyse de syst` emes thermohydrauliques (e.g.p etrochimique). D eclin ee pour le logiciel, mais moins r epandue. Orient ee conception, utilisable aussi sur existant. Secteurs spatial, militaire et nucl eaire, surtout aux Etats-Unis. Conception de syst` emes electriques, mais g en eralis ee ` a dautres applications. A eronautique, nucl eaire, chimie. Approche peu document ee et changeante selon le domaine. [200]

Industrie a eronautique.

Conformit ea ` des r ef erentiels (notamment IEC 61508, DO-178B) DO-178B [76] (avionique)

Logiciel embarqu e critique (transverse).

Certications. Plusieurs niveaux sont g en eralement distingu es.

Selon les r ef erentiels et les niveaux de certication.

Domaine en cours de consolidation, la 61508 jouant un r ole pivot.

IEC 61508 [110] (g en erique) et d eclinaisons

61508 issue de la convergence de lISA 84.01 (USA, 1996), du Def-Stan 00-55 (UK, 1991) et de la DIN 19250 (Allemagne, 1994).

Diagrammes de abilit e (Reliability Block Diagrams )

Tout domaine. R eserv es aux syst` emes simples.

Combinaisons de pannes.

IEC 61078 [201]

Arbres de d efaillance

Exigences sur les di erentes etapes du cycle de vie logiciel. Plus ou moins prescriptives. La norme cl e du domaine, lIEC 61508 est tr` es prescriptive. Dautres normes sectorielles ont des approches plus souples. Blocs fonctionnels connect es en s erie ou en parall` ele selon leur n ecessit e pour le syst` eme. Approche d eductive, sous forme dun arbre bool een. Combinaisons de pannes (coupes minimales) Calcul de abilit e, de disponibilit e. Analyse de sensibilit e (contribution des composants). Calcul de abilit e, de disponibilit e. Analyse de sensibilit e (contribution des composants). Identication des congurations accidentelles menant ` a des cons equences redout ees. Combinaisons de pannes et congurations accidentelles. Quantication des congurations accidentelles. Probabilit e de cons equences. Cf. arbres de d efaillances et arbres d ev enements. Syst` emes simples. Mod` eles statiques. enements Ev ind ependants et binaires. enements Ev ind ependants. Mod` eles statiques. Fonctionnement des composants binaire .

IEC 61025 [207] Ann ees 60, NRC Hdbk [204] s uret e des NASA Hdbk [205] missiles aux Etats-Unis

40
Approche inductive. Arbre avec embranchements probabilis es. Approche hybride entre arbres de d efaillances et arbres d ev enements. Graphes orient es sans circuit de relations de probabilit es conditionnelles entre variables al eatoires ; tables de probabilit es conditionnelles associ ees. Peu adapt es aux consid erations qualitatives : on perd notamment les notions de coupes minimales propres aux arbres de d efaillances.

Arbres d ev enements

Emploi g en eralis e. Tr` es implant es dans le nucl eaire et le spatial. Adaptation au logiciel (plut ot acad emique). Surtout nucl eaire et industrie chimique.

Guide [211]

AIChe

Diagrammes CauseCons equence

Surtout nucl eaire (marginalement logiciel et ferroviaire).

Ev enements ind ependants. Mod` eles statiques. ambigu t e s emantique. Cf. arbres de d efaillances et arbres d ev enements. Calcul de loi marginale dune variable, de sa loi conditionnelle vis-` a-vis dun ensemble dobservations. Force des liens, importance des nuds. Mod` eles statiques. Lisibilit e limit ee (beaucoup dinformation non repr esent ee). Diversit e des traitements r eduite.

[212]

Ann ees 70, rapport WASH 1400/ Rasmussen [209] Ann ees 70, Ris Labs [212] (s uret e nucl eaire). [221] Travaux de Thomas Bayes (xviiie s.) Premi` eres utilisations en abilit e ann ees 90 [218].

R eseaux bay esiens

Encore acad emiques en abilit e (d eveloppement industriel lanc e). Tr` es polyvalents : analyse de rex, pr evision, d etection d ecarts, diagnostic, optimisation...

Graphes et techniques de Markov

Graphe d etats. Mod elisation des transitions par lois exponentielles (sans-m emoire).

S equences de pannes.

Calcul de abilit e et de disponibilit e. Caract erisation des s equences menant a ` la panne.

Explosion combinatoire. Expertise forte n ecessaire.

IEC 61165 [223] [188]

Travaux dA. Markov (d ebut xxe s.)

Dynamic Fault Trees (DFT)

Tout domaine. Utilis es pour mod eliser des syst` emes avec d ependances et caract eristiques dynamiques. En principe g en eriques. Encore tr` es acad emiques ; utilisation plus industrielle dans la erospatiale. S equences de pannes. Calcul de abilit e et de disponibilit e. NASA Hdbk [205] [226] S equences de pannes. Calcul de abilit e et de disponibilit e. Fortes limites avec syst` emes r eparables. Formalisation math ematique incompl` ete. Lisibilit e des portes. Diversit e des formalismes. Explosion combinatoire. Expertise forte n ecessaire. [247]

D ebut 90. Mod elisation de syst` emes informatiques embarqu es.

R eseaux de Petri

Th` ese de C. A. Petri en 1962 [230]

41
S equences de pannes. Langages d edi es ` a la sp ecication de mod` ele. Transformations entre di erents formalismes.

G en eriques. Les plus utilis es en abilit e sont les GSPN, mais il existe de nombreuses variantes (dont SAN, r eseaux de Petri color es, etc.)

BDMP

Industrie electrique, mais potentiellement g en eriques.

Arbres de d efaillances avec portes sp eciques (FDED, WSP, PDEP). Sp ecication de haut-niveau dun mod` ele de Markov. Mod elisation graphique dinteractions complexes (concurrences, conits, synchronisations, boucles, partages...) ` a laide de places, arcs, transitions et jetons. Sp ecication de haut-niveau de mod` eles de Markov. Formalisme proche des arbres de d efaillances, avec capacit es de mod elisation dynamique. Calcul de abilit e et de disponibilit e. [238] Large eventail de possibilit es. Communaut e utilisatrice encore restreinte. Dicult e ` a mod eliser des comportements cycliques. Paysage fragment e, mais passerelles entre les langages.

EDF, d ebut des ann ees 2000.

Langages de mod elisation abiliste

G en eriques.

Pr ecurseur : Figaro [239]

2.3

Quelques techniques pour l evaluation en s ecurit e informatique

La bo te ` a outils de l evaluation de s ecurit e informatique est plus jeune et moins fournie que celle de la s uret e. Plusieurs raisons peuvent lexpliquer. Tout dabord, la probl ematique de la s ecurit e informatique nest identi ee qu` a partir de la n des ann ees 60, quelques temps apr` es les premi` eres exp erimentations de syst` emes multi-utilisateurs et de r eseaux informatiques, amenant des probl` emes de condentialit e pour le traitement de donn ees sensibles [248]. Elle ne prend cependant toute son importance quavec le d eveloppement dInternet, r evolutionn e par le Web au d ebut des ann ees 90. Les premi` eres approches m ethodologiques structur ees en s uret e peuvent quant ` a elles etre retrac ees d` es lentre deux guerres, notamment dans le domaine de la eronautique (e.g. etude compar ee de la s uret e des avions mono, bi ou quadrimoteurs [188]). Alors que la s ecurit e informatique nen est qu` a ses balbutiements dans les ann ees 80, les etudes de s uret e sont d ej` a bien structur ees, outill ees (AMDE, arbres de d efaillances, HAZOP, etc.) et largement pratiqu ees dans les principales industries ` a risques. Autre aspect expliquant la moindre maturit e de la bo te ` a outil s ecurit e informatique : les syst` emes ` a evaluer mais aussi les menaces a consid ` erer evoluent ` a une vitesse incomparablement plus rapide quen s uret e. La t ache des techniques d evaluation est plus d elicate, leur turn-over est aussi plus important. La s election propos ee ici, et synth etis ee par la Table II.8 p. 56, donne un aper cu repr esentatif des techniques actuelles, mais egalement de leurs limites et dicult es associ ees. En particulier, l evaluation quantitative de la s ecurit e est unanimement reconnue comme une probl ematique ardue et encore largement ouverte [249]. La question de la pertinence des approches probabilistes, d ej` a abord ee en Section 1.2.4, est d ebattue plus largement au Chapitre III Section 6.1. Dune fa con plus g en erale, les probl ematiques d evaluation quantitatives de la s ecurit e se rattachent directement aux multiples d ebats et recherches portant sur la notion de mesure ou m etrique 15 de s ecurit e. De nombreuses initiatives et approches jalonnent cette th ematique dinvestigation, que nous ne pourrons queeurer au travers de certains passages de la pr esente section. Jaquith donne un panorama bien plus complet dans [250] ; des vues synth etiques et compl ementaires peuvent de plus etre trouv ees dans [251, 252, 253]. Enn, le NIST a r ecemment identi e les grandes directions de recherche en la mati` ere dans [254], alors que les premiers standards re etant des consensus nationaux ou internationaux font leur apparition (e.g. [255, 256]). Comme pour le pr ec edent panorama, les techniques d evaluation ici pr esent ees ont et e retenues sur la base de leur visibilit e dans la litt erature normative, scientique et technique, mais aussi pour servir la Section 3 et les chapitres suivants du m emoire. 2.3.1 R ef erentiels de conformit e et certications

Egalement regroup ees dans la litt erature en approches par crit` eres [257], ces techniques sappuient sur une description pr ecise dexigences d enies a priori, dont des crit` eres de satisfaction sont explicitement d ecrits et g en eralement regroup es selon le niveau de s ecurit e vis e par l evaluation. Quand les crit` eres sont evalu es par des tierces parties sp ecialis ees, la notion de certication y est fr equemment associ ee. Lapproche par crit` ere a un riche historique en mati` ere de s ecurit e informatique. Elle est domin ee aujourdhui par les Crit` eres Communs (CC) [258], norme mondiale de r ef erence pour l evaluation des produits de s ecurit e. Ils permettent de valider de fa con modulaire des fonctions de s ecurit e dun produit selon di erents degr es dassurance, les EAL (Evaluation Assurance Levels ), echelonn es de 1 ` a 7. LAnnexe A donne un historique et une description rapide de cette norme. En parall` ele, dautres r ef erentiels plus sectoriels ont vu le jour : on peut citer les certications VISA ou EMV bien etablies dans le domaine bancaire. Plus r ecemment, des sch emas de certication pour la s ecurit e des syst` emes dinformatique industrielle ont fait leur apparition (e.g. ISA Secure [259], d ecrit en Annexe A ou Achille 16 ). Encore balbutiantes, il est trop t ot pour juger de leur pertinence [260]. Enn, on ne peut cl oturer cette section sans evoquer les normes ISO/IEC 27001 [115] et 27002 [117], fr equemment cit ees dans la litt erature comme r ef erentiels de s ecurit e informatique. Le p erim` etre nest plus un produit ou une fonction de s ecurit e, mais une entreprise, une administration ou tout autre type dorganisation. En fait seule lISO/IEC 27001, d enissant des exigences pour la gestion de la s ecurit e de linformation, est ` a proprement parler certiable . LIEC/ISO 27002 constitue quant ` a elle un catalogue structur e de contr oles de s ecurit e que les organisations peuvent s electionner et mettre en uvre dun point de vue technique et organisationnel, articul es par le jeu de politiques de s ecurit e et de proc edures
15. Nous emploierons ces termes indistinctement. 16. http://www.wurldtech.com/cyber-security/achilles-certification/achilles-certification.aspx

42

appropri ees. LISO/IEC 27002 nest donc pas un r ef erentiel d evaluation, bien quil soit fr equent de la voir pr esent ee comme tel. Toutes deux sins` erent dans une s erie de standards ISO/IEC dite 27k (toutes les normes de la s erie sont num erot ees en 27xxx) dont la plupart compl` etent ou pr ecisent les notions et m ecanismes evoqu es dans lISO/IEC 27001. 2.3.2 Mod elisation et evaluation formelle de politiques de s ecurit e

Un mod` ele formel de politique s ecurit e donne un cadre dans lequel on peut exprimer de fa con formelle et v eriable les exigences d enies dans leurs principes par une politique de s ecurit e : dans le cadre du mod` ele formel consid er e, les exigences de la politique correspondent ` a de propri et es math ematiquement prouvables. Les mod elisations formelles de politique de contr ole dacc` es interviennent dans les evaluations de s ecurit e de syst` emes tr` es sensibles, et ont connu de nombreux d eveloppements. Elles constituent la partie la plus visible et la plus mise en uvre des travaux de mod elisation formelle de politique s ecurit e. Nous donnons en Annexe B un aper cu des principaux jalons en la mati` ere, dont les mod` eles classiques tels que Bell-Lapadula ou Biba, les mod` eles ` a base de matrice de contr ole dacc` es ou de r oles. La m eme annexe evoque aussi les mod` eles dautorisation ` a base de ux ou de traces dex ecution (notamment la non-interference ), et les mod` eles utilis es en v erication de primitives cryptographiques. Par extension, les techniques de v erication formelle de protocoles de s ecurit e, et plus largement de model-checking ` a des ns de s ecurit e, peuvent etre rattach ees ` a cette section. La th` ese de Foster [261] et la r ef erence [262] donnent de bons panoramas du premier aspect, tandis quun etat de lart pourra etre par exemple trouv e dans la th` ese de Sheyner [263]. 2.3.3 M ethodes qualitatives structur ees danalyse et de gestion de risque

Il existe de tr` es nombreuses m ethodes danalyse de risques en s ecurit e informatique, ayant chacune leurs sp ecicit es en termes dhistorique, de domaine dapplication, dapproche et de p erim` etre. On citera :
18 au niveau fran cais, EBIOS 17 et MEHARI . La premi` ere, d evelopp ee et promue par lANSSI 19 , a vu le jour en 1995. Elle est la m ethode privil egi ee dans les administrations et minist` eres fran cais, mais est egalement tr` es employ ee dans les grandes entreprises. Elle fait lobjet dun club utilisateur vivace 20 . Elle est compl` etement document ee et outill ee [264, 265], et couvre tous les aspects de la gestion de risques. La seconde, MEHARI, est d evelopp ee et promue depuis 1995 par le CLUSIF 21 . Elle est employ ee essentiellement dans les grandes entreprises fran caises, o` u elle c otoie EBIOS. Cette derni` ere a un d eveloppement international plus pouss e;

au Royaume-Uni, CRAMM 22 . Cr e ee en 1985 par le gouvernement britannique, la m ethode est maintenant d evelopp ee et promue par le secteur priv e (Siemens notamment). Tr` es int egr ee avec loutil logiciel eponyme, elle reste la m ethode danalyse et de gestion de risques la plus r epandue dans les administrations et minist` eres britanniques, mais est egalement employ ee dans des organisations internationales (e.g. OTAN) et par les entreprises du secteur priv e dans plusieurs pays europ eens ; aux Etats-Unis, la SP800-53 [111], MORDA 23 [266], OCTAVE 24 ou encore SQUARE 25 [267]. Les organisations f ed erales sappuient sur la premi` ere, d evelopp ee par le NIST. La seconde est une des m ethodes d evelopp ees par la NSA. La troisi` eme et la quatri` eme sont plus cibl ees vers le secteur priv e : OCTAVE, issue des travaux de luniversit e Carnegie Mellon, est tr` es port ee sur les aspects organisationnels et d eclin ee selon la taille de lorganisation analys ee ; SQUARE est plus orient ee processus de conception darchitecture s ecuris ee. Au niveau international enn, lISO/IEC 27005 [118] a et e publi ee en juin 2008 et a d ej` a acquis une consid erable popularit e de par ses principes simples et exibles. Contrairement aux autres m ethodes cit ees, elle reste ` a un niveau tr` es g en erique et nest donc pas sp eciquement outill ee.
17. 18. 19. 20. 21. 22. 23. 24. 25. Expression des Besoins et Identication des Objectifs de S ecurit e (EBIOS). MEthode Harmonis ee dAnalyse de Risques (MEHARI). Agence Nationale de la S ecurit e des Syst` emes dInformation (ANSSI, http://www.ssi.gouv.fr). http://www.club-ebios.org/ CLUb de la S ecurit e des syst` emes dInformation Fran cais (CLUSIF, http://www.clusif.asso.fr). Ccta (central communication and telecommunication agency) Risk Analysis and Management Method (CRAMM). Mission Oriented Risk and Design Analysis (MORDA). Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE, http://www.cert.org/octave). Security QUality Requirements Engineering (SQUARE, http://www.cert.org/sse/square.html).

43

Le lecteur soucieux davoir une vue plus compl` ete pourra consulter la page web d edi ee au sujet 26 maintenue ` a jour par lAgence europ eenne de la s ecurit e des r eseaux et de linformation (ENISA 27 ). Elle pr esente de fa con structur ee les sp ecicit es de 13 m ethodes de gestion et danalyse de risques, ainsi que de 22 outils informatiques pouvant les appuyer de fa con d edi ee ou g en erique. Pour chaque m ethode, 21 attributs sont renseign es, pr ecisant notamment le type dorganisation vis ee, le domaine de la gestion de risques couvert (cf. Fig. II.1), le niveau de d etail et de maturit e de la m ethode, etc. Cette page permet egalement de comparer outils et m ethodes les uns par rapport aux autres sur la base des attributs les d ecrivant. 2.3.4 Evaluation de la vuln erabilit e et tests de s ecurit e

Tests dintrusion. Si les evaluations de la s ecurit e en conception permettent une caract erisation th eorique du niveau de s ecurit e, elles peuvent etre compl et ees par des tests de nature op erationnelle, type tests de p en etration et dintrusion. Ces tests peuvent se faire ` a di erents p erim` etres : sur un composant sp ecique, ` a l echelle dune architecture voire dune organisation. Ils n ecessitent lintervention encadr ee de sp ecialistes de ces evaluations, qui op` erent selon di erentes modalit es. LOSSTMM 28 [268] distingue six types dapproche, r esum es par la Table II.5 et illustr es par la Figure II.9.

Niveau de connaissance de lattaquant

Aveugle

Tandem

Double bote grise

Double aveugle

Renvers

Niveau de connaissance de lvalu

Figure II.9 Positionnement respectif des six types dapproches de test dintrusion selon [268] Les tentatives dintrusion peuvent exploiter di erents canaux : lOSSTMM di erencie ainsi canal physique, canal organisationnel et humain, ondes radio, r eseaux de donn ees et r eseaux de t el ecommunications. Il existe une ore importante de soci et es de services sp ecialis ees dans les tests dintrusion, et une litt erature abondante sur le sujet (cf. par exemple le guide m ethodologique de lOWASP 29 [269] pour les applications Web). Notons enn que les tests de p en etration ne doivent etre consid er es que comme un moyen parmi dautres dans une d emarche daudit de s ecurit e plus compl` ete [115]. Scanners automatis es de vuln erabilit es. Les vuln erabilit es des composants ou architectures informatiques peuvent etre partiellement evalu ees de fa con automatis ee. Depuis leur introduction au d ebut des ann ees 90 [270, 271], lutilisation de scanners de vuln erabilit es est une pratique r epandue, avec des suites logicielles open source et commerciales aujourdhui performantes (e.g. Nessus, CORE Impact ; Achille pour un dispositif sp ecique ` a linformatique industrielle). Elles testent la pr esence de vuln erabilit es existantes. Pour trouver de nouvelles vuln erabilit es logicielles, les techniques dites de fuzzing ont connu un essor important ces derni` eres ann ees, bien quelles demandent une expertise extr emement pointue. Plus globalement, le document du NIST [272] donne une liste doutils de test s ecurit e pour les r eseaux.
26. 27. 28. 29. http://www.enisa.europa.eu/act/rm/cr/risk-management-inventory European Network and Information Security Agency (ENISA, http://www.enisa.europa.eu). Open Source Security Testing Methodology Manual (OSSTMM, http://www.isecom.org/osstmm). Open Web Application Security Project (OWASP, http://www.owasp.org).

44

Table II.5 Description des six approches de test dintrusion de lOSSTMM [268]

D esignation Aveugle

Double aveugle (bo te noire) Bo te grise (test de vuln erabilit e) Double bo te grise

Tandem Renvers e

Description Lauditeur na aucune connaissance sur le syst` eme evalu e et ses protections. Le responsable du syst` eme conna t les d etails de laudit, cadre, d elais, y compris modes op eratoires (canaux exploit es, techniques dattaque, etc.). Lauditeur na aucune connaissance sur le syst` eme evalu e. Le responsable du syst` eme ne conna t pas le p erim` etre et les modalit es pr ecises du test de p en etration (canaux exploit es, techniques dattaque, etc.). Lauditeur a une connaissance limit ee du syst` eme evalu e et de ses protections. Le responsable du syst` eme est au courant des d etails de laudit, y compris de ses modes op eratoires (canaux exploit es, techniques dattaque, etc.). Lauditeur a une connaissance limit ee du syst` eme evalu e et de ses protections. Le responsable du syst` eme est noti e du p erim` etre de laudit, mais en ignore les modalit es pratiques (canaux exploit es, techniques dattaque, etc.). Auditeur et responsable du syst` eme evalu e ont une connaissance compl` ete. Lauditeur a une connaissance compl` ete du syst` eme evalu e et de ses protections. Le responsable du syst` eme ne conna t pas le p erim` etre et les modalit es pr ecises du test (canaux exploit es, techniques dattaque, etc.).

M etriques de la vuln erabilit e. Les remarques faites en introduction de la Section 2.3 quant ` a la notion de m etrique de s ecurit e restent valables pour le cas particulier de la quantication du niveau de vuln erabilit e : le domaine est ` a la fois ardu et foisonnant. Nous ne pr esenterons ici que deux approches, de natures di erentes, mais b en eciant toutes deux dune large visibilit e industrielle. Les lecteurs int eress es pourront consulter les r ef erences indiqu ees dans lintroduction susmentionn ee. Tout dabord la notion de surface dattaque (attack surface ) a et e introduite par Microsoft [273] et d evelopp ee par luniversit e Carnegie Mellon [274] pour mesurer la s ecurit e dun produit logiciel donn e (e.g. un type de syst` eme dexploitation, un progiciel, un syst` eme de gestion de base de donn ees, etc.). Plut ot que de sint eresser au nombre de bugs trouv es dans un code source, ou au nombre davis de s ecurit e emis pour le syst` eme consid er e, la notion de surface dattaque vise ` a re eter lexpertise requise et lopportunit e pour un attaquant de compromettre avec succ` es un syst` eme en prenant en compte la pr esence et la facilit e dexploitation de vecteurs dattaque types. Elle sapplique sur un mode comparatif, sur des syst` emes de m eme genre. Dans un autre registre, le CVSS (Common Vulnerability Scoring System ) [275] est un syst` eme de notation, non plus de la vuln erabilit e dun syst` eme au sens g en eral, mais dune vuln erabilit e logicielle en particulier, i.e. dune faille caract eris ee et exploitable par un attaquant. Le CVSS est d evelopp e et promu par le NIST, il est mis en uvre par de nombreuses organisations au niveau mondial 30 . Il note une vuln erabilit e selon ses caract eristiques intrins` eques (e.g. possibilit e dexploitation ` a distance, type dimpact), temporelles (e.g. temps n ecessaire ` a son exploitation) et environnementales (e.g. nombre de syst` emes concern es, possibilit e de dommages collat eraux en cas dexploitation). 2.3.5 Mod elisation graphique dattaque

Les techniques de mod elisation graphique dattaque permettent de repr esenter graphiquement et dappuyer lanalyse des di erentes possibilit es et sc enarios envisageables par un attaquant pour atteindre un ou plusieurs objectifs. Elles peuvent appuyer la pr eparation de tests dintrusion et di erentes etapes dune analyse de risques en s ecurit e. Ces mod` eles graphiques permettent de formaliser et dam eliorer la couverture de lanalyse, partager et communiquer sur les sc enarios consid er es, mais egalement dans certains cas, fournir des el ements quantitatifs. Ils sont souvent employ es pour etayer l evaluation des probabilit es doccurrence dans la phase destimation des risques (cf. Section 1.1.1). Ils peuvent aussi prendre en compte des aspects d efensifs, dans le but d evaluer lecacit e de contre-mesures. Etant donn e la pertinence de cette cat egorie doutils pour la suite de nos d eveloppements (notamment ceux du Chapitre III), nous proposons ici un etat de lart plus approfondi que pour les autres techniques. La Table II.7 p. 54 en donne une vue synth etique.
30. http://www.first.org/cvss/

45

2.3.5.1 Deux approches dominantes : arbres dattaque et r eseaux de Petri. Les premi` eres repr esentations graphiques dattaques informatiques peuvent etre identi ees d` es les ann ees 80 [276, 277], avec les approches ` a base darbres de menaces, puis sont rejointes par des mod elisations ` a base de r eseaux de Petri, au d ebut des ann ees 90 [278, 279]. Ces deux types dapproche sont encore ` a ce jour les mod` eles dominants du domaine, le plus r epandu etant celui des arbres dattaque. Arbres dattaque (attack trees) et arbres de menaces (threat trees). Inspir es des arbres de d efaillances du domaine de la s uret e de fonctionnement dans les ann ees 80, ils sont popularis es par Schneier ` a la n des ann ees 90 [22]. Les premi` eres utilisations darbres pour mod eliser les menaces peuvent etre situ ees dans les ann ees 80. Le logiciel Lava d evelopp e d` es 1983 par le laboratoire de Los Alamos aux Etats-Unis y recourt de fa con sous-jacente pour mod eliser les menaces pesant sur les installations nucl eaires [280]. Par ailleurs, Weiss [276] et Amoroso [277] signalent tous deux le requis danalyse par arbres de menaces (threat trees ) du standard MIL-Std-1785 du DoD [281] 31 . Weiss, mentionnant explicitement linuence des arbres de d efaillances, d ecrit dans [276] l elaboration et lutilisation dun arbre de menaces, d ecomposant dans un arbre bool een une menace macroscopique en menaces el ementaires. Il explique aussi comment calculer avec une telle structure des niveaux de risque et prendre des d ecisions de s ecurit e en attribuant aux feuilles de larbre des impacts et des eorts pour lattaquant. En 1994, Amoroso expose un formalisme tr` es similaire [277], reconnaissant linuence de Weiss et du standard du DoD. Y sont repr esent ees dans un arbre logique les menaces group ees en termes datteintes ` a la condentialit e, ` a la disponibilit e et ` a lint egrit e, permettant leur enum eration structur ee, mais egalement comme chez Weiss, l evaluation et la hi erarchisation des risques. Lensemble est l` a aussi d esign e sous le nom darbre de menaces ; la Figure II.10 donne un exemple repris de Amoroso, qui d ecrit les menaces pesant sur des donn ees m edicales dans un syst` eme informatique hospitalier. Cette technique a depuis et e expos ee dans di erents ouvrages de r ef erence en s ecurit e [158, 157, 282].
Menaces sur les donnes mdicales du patient Donnes vitales Donnes non vitales

Divulgation

Intgrit

Dnis de service

Divulgation
Donnes mdicales divulgues

Intgrit Dnis de service

Donnes mdicales Donnes mdicales non accessibles corrompues

Figure II.10 Exemples darbre de menaces, dapr` es Amoroso [277] La d enomination arbres dattaque et le mod` ele associ e sont dus ` a Schneier ; ils correspondent ` a la forme d eriv ee sans doute la plus connue des arbres de d efaillances en s ecurit e, et ont et e popularis es par Schneier essentiellement en trois temps : dabord en tant que co-auteur dun article de conf erence synth etisant les r eexions dun groupe de travail de la NSA [283] (1998) ; un an apr` es, par un article de revue reprenant et d eveloppant la m ethode (et souvent cit e` a tort comme larticle fondateur) [22] ; enn par un chapitre d edi e dans un livre publi e en 2000 [156]. Schneier mod elise sous forme darbre bool een les di erentes techniques et moyens envisageables par un attaquant pour atteindre son objectif, sommet de larbre (dans la terminologie consacr ee). Certains moyens doivent etre employ es conjointement et sont group es par un ET logique, dautres sont des alternatives et sont group es par un OU. Des objectifs interm ediaires jalonnent la progression vers lobjectif nal. On le voit, la di erence entre les arbres dattaque et les arbres de menaces est mince, au point de pouvoir etre confondus. Elle tient, en principe, a la nature di ` erente des el ements mod elis es par les feuilles et les nuds de larbre dans chaque cas ; en pratique, la fronti` ere sestompe car les el ements mod elis es sont souvent tr` es h et erog` enes dans un m eme mod` ele et sans coh erence particuli` ere avec lappellation.
31. Le standard est indiqu e comme etant de 1988 : nos recherches bibliographiques nont pu aboutir qu` a un document du 1er janvier 1989, de m eme r ef erence et de m eme titre, mais ne mentionnant pas les arbres de menaces.

46

` linstar de Weiss et Amoroso, Schneier propose dassocier aux feuilles di A erents attributs. Lattribution de co uts permet de trier les sc enarios sur ce crit` ere, et de raisonner selon le prol estim e de lattaquant. Des seuils et des indicateurs de comp etence ou de moyens n ecessaires (e.g. outillage sp ecique) peuvent aussi etre d enis ` a cette n. La th` ese dEdge donne une description compl` ete de lutilisation de ce genre de param` etres [284]. Lattribution de probabilit es de succ` es, estim ees par lanalyste, permet de faire des quantications de coupes minimales comme sur les arbres de d efaillances. Enn, un formalisme alternatif sous forme de texte est propos e. La Figure II.11 reprend un des exemples, d esormais canonique, d ecrit par Schneier dans [22]. Il repr esente de fa con simpli ee lattaque dun core-fort, soulignant au passage lapplication naturelle du formalisme au domaine de la s ecurit e physique.
Ouverture du coffre

Crocheter la serrure

Trouver la combinaison

Dcouper le coffre

Installation dfaillante

Trouver la combinasion crite

Obtenir la combinaison de la cible

Menace

Chantage

Interception (eavesdrop) et

Corruption

Ecoute dune conversation

Mention de la combinaison

Figure II.11 Exemple canonique darbre dattaque, traduit de [22] En 2001, dans le sillage de Schneier, Moore et al. adoptent un formalisme l eg` erement di erent et d eveloppent encore la m ethode [285] : ils mettent notamment en avant la possibilit e dutiliser les arbres dattaque pour mod eliser des motifs (patterns ) el ementaires dattaque r eutilisables. Ces motifs peuvent constituer une biblioth` eque ` a la disposition de lanalyste ; leur s election peut etre automatis ee selon le syst` eme consid er e. Dautres reprendront lid ee et proposeront diverses repr esentations structur ees (e.g. en grammaire BNF (Backus-Naur Form) [286], ou en XML [287]). Une fois structur es, les arbres dattaque peuvent alors aussi appuyer des syst` emes de d etection dintrusions en formalisant les sch emas dattaque a d ` etecter [286, 288, 289, 290]. En 2006, Fovino et al. proposent une notation semi-formelle permettant dam eliorer la s emantique des arbres dattaque, leur composition, et leur int egration dans les m ethodes danalyse de risques en distinguant trois type de nuds : op erations, vuln erabilit es et assertions [291]. Les arbres dattaque ont et e utilis es dans de tr` es nombreux secteurs et applications. On peut citer de fa con non-exhaustive lanalyse de la s ecurit e des protocoles (e.g. Modbus [292] ou BGP [293] ; cf. la th` ese de Foster pour une description plus pouss ee et une application plus g en erale [261]), mais aussi les syst` emes de banque en ligne [294], de vote [295], de tatouage electronique [296], de drone [297] ou encore le domaine des r eseaux ad-hoc [298]. Ils ont aussi et e employ es dans la mod elisation dattaques et l evaluation de risques pour des syst` emes en lien direct avec le contexte de cette th` ese : des syst` emes de s uret e de centrales nucl eaires [299, 300], des syst` emes SCADA 32 [301, 302], des syst` emes de compteurs electriques intelligents [303] et plus largement des syst` emes de m etrologie [304]. Plusieurs m ethodes g en eriques danalyse de risques ou de sp ecication de syst` emes sugg` erent dy faire appel dans les phases didentication des menaces et de mod elisation de sc enarios. Cest le cas notamment de SQUARE et MORDA [305], evoqu ees en Section 2.3.3, ou encore de Strata-Gem, pr esent ee en 2008 par Clark et al. [306]. Le r ecent guide de la NRC sur la s ecurit e informatique des centrales nucl eaires ` c [60] y fait aussi une rapide allusion. A ot e de leur utilisation directe dans des analyses de risques, ils ont egalement et e consid er es comme mod` eles sous-jacents ` a des applications comme la d etection
32. Supervisory Control And Data Acquisition (SCADA).

47

dintrusions [288], la d etection dattaques dorigine interne (internal threat ) en particulier [307], l etude post-mortem (forensics )[308], ou encore lidentication et l evaluation des probl` emes de protection de donn ees personnelles (privacy) [309]. Les arbres dattaque sont parfois d esign es par dautres appellations selon les aspects de la mod elisation mis en avant : en fait, on peut consid erer que, ` a quelques nuances pr` es, attack trees, threat trees, comme d ej` a signal e, mais aussi vulnerability trees, security trees, ou encore protection trees et defense trees , ` linstar des arbres de evoqu es ult erieurement, correspondent tous ` a la famille des arbres dattaque. A d efaillances, leur facilit e dappr ehension, leur lisibilit e et leur nature hi erarchique sont autant datouts qui expliquent leur popularit e. Bien s ur, ils partagent aussi leurs limites intrins` eques, ` a savoir leur caract` ere statique, restreignant les capacit es de mod elisation, et une d ependance forte aux comp etences et au point de vue de lanalyste, impliquant un travail d equipe pour eviter une subjectivit e trop prononc ee. Une formalisation math ematique compl` ete et rigoureuse est d evelopp ee dans [310]. De nombreuses extensions et m ethodes de quantication ont et e propos ees dans le domaine acad emique. Buldas et al. donnent ainsi une m ethode pour rationaliser les choix de lattaquant en fonction des risques et des prots quil per coit [311] ; J urgenson et Willemson exposent dans [312] une approche alternative, permettant des quantications plus pr ecises. Les m emes auteurs ont aussi elargi le mod` ele de Buldas et al. pour prendre en compte des incertitudes dans les param` etres des arbres quanti es [313]. Bistarelli et al. associent aux feuilles dun defense tree des valeurs de retours sur investissement comme fonctions dutilit e dans un jeu a deux joueurs entre attaquant et d ` efenseur [314] ; les equilibres de Nash sont calcul es pour identier les strat egies optimales. Yager g en eralise les portes OU et ET par lutilisation de portes k/n dont le nombre de ls devant etre v eri e pour leur r ealisation est mod elis e en logique oue [315] ; les formules de quantication de larbre sont pr ecis ees dans ce contexte. Au-del` a de lam elioration des capacit es de quantication, le mod` ele standard darbre dattaque tel quincarn e par les ecrits de Schneier a et e etendu selon de nombreuses autres directions. Par exemple, Daley et al. proposent un d ecoupage en strates [316] alors que Grunze d ecrit une version modulaire, reposant sur des notions de prols [317]. Dans [282], Howard et Leblanc augmentent le formalisme des contre-mesures d eploy ees pour limiter les risques associ es aux menaces identi ees. Bistarelli et al. d evelopperont cette id ee sous forme darbres de d efense (defense trees) pr ec edemment evoqu es [318, 314]. Edge fera de m eme dans sa th` ese avec les arbres de protection (protection trees) [284]. Notons enn que plusieurs travaux acad emiques ont ajout e une dimension dynamique aux arbres dattaque. Citons ` a nouveau J urgenson et Willemson qui modulent l evaluation des sc enarios selon lordre des etapes consid er ees [319] ; Camtepe et al. augmentent aussi les arbres dattaque dune logique temporelle dans [290] ; Khand sugg` ere quant ` a lui de reprendre le formalisme des DFT pr esent e en Section 2.2.4 pour mod eliser les attaques, mais n evoque pas les evaluations quantitatives possibles [320]. Les arbres dattaque classiques (statiques) sont sp eciquement cibl es par deux outils de mod elisation informatique : SecureITree de la soci et e Amenaza 33 , et Attack Tree+ de la soci et e Isograph Software 34 , sp ecialis ee dans les logiciels de s uret e de fonctionnement et danalyse de risques. Ceci-dit, il est possible, pour une utilisation basique, de sappuyer de fa con d etourn ee sur tout logiciel de mod elisation par arbres de d efaillances (cf. Section 2.2.3). Utilisation des r eseaux de Petri en s ecurit e. Si les arbres de menaces sont les premi` eres formes de mod elisation graphique dattaque, elles sont rejointes par des mod elisations ` a base de r eseaux de Petri d` es la premi` ere moiti e des ann ees 90. En 1994, Dacier les emploie dans sa th` ese comme mod` ele de quantication sous-jacent aux graphes de privil` eges (cf. Section 2.3.5.2), mod elisant la progression dun attaquant dans la prise de possession dun syst` eme [257]. La m eme ann ee, Kumar et Spaord se servent des r eseaux de Petri pour mod eliser des sc enarios de r ef erence pour un dispositif de d etection dintrusions [278]. En 1997, Ho et al. d ecrivent une architecture mettant en uvre ce principe, et am eliorent le processus en elargissant la d etection ` a un ordre seulement partiel dans les etapes des attaques d ecrites par les mod` eles en r eseaux de Petri [279]. McDermott met en avant leur dimension graphique en s ecurit e sous forme dattack nets , repr esentant des sc enarios dattaque de mani` ere exible [321]. Le grand int er et des r eseaux de Petri r eside dune part dans leur puissance de mod elisation, soulign ee en Section 2.2.4, et qui permet de prendre en compte notamment laspect s equentiel des attaques, la mod elisation dactions concurrentes et celle de diverses formes de d ependance. Elle tient dautre part dans leurs capacit es de
33. http://www.amenaza.com 34. http://www.isograph-software.com/atpover.html

48

quantication, notamment dans leur forme g en eralis ee stochastique, qui rend op erationnels les outils classiques de lanalyse markovienne (cf. Section 2.2.4). Les Figures II.12a) et II.12b) reprennent lillustration choisie par McDermott, lattaque dite de Mitnick, du nom du c el` ebre hacker layant mise en uvre pour la premi` ere fois. Elle m elange d enis de service par paquet SYN (SYN ooding ), d etournement de sessions TCP (TCP hijacking ) et une usurpation de relation de conance par le m ecanisme Unix rhost. Dans la Figure II.12a), la place p0 repr esente le point de d epart de lattaquant, qui a les droits administrateur sur une machine TCP/IP. Un jeton y gure initialement. La transition t0 correspond ` a l etape de reconnaissance de la cible par lattaquant, atteignable par celui-ci via TCP/IP (utilisation de finger, rpcinfo, etc.). Une reconnaissance r eussie r eplique le jeton dans les places p1, p2 et p3. La place p1 repr esente lidentication dune adresse routable mais inutilis ee sur le r eseau de la cible. La place p2 correspond ` a lidentication dune machine usurpable consid er ee comme de conance par la cible. La place p3 mod elise lidentication de la machine cible, ayant une relation de conance avec la machine identi ee en p2. La transition t1 repr esente la construction de paquets SYN avec une fausse adresse source, visant ` a saturer la cible. La transition t3 correspond ` a la recherche des num eros de s equences TCP n ecessaires ` a lusurpation didentit e. La place p5 repr esente la capacit e de lattaquant ` a pr evoir le num ero de s equence TCP de la machine de conance. La transition t2 correspond au d ebut du d eni de service par avalanche de paquets SYN sur cette machine. La place p6 repr esente le syst` eme quand les buers de la machine sont eectivement satur es. Arriv e` a ce point, l etat de lattack net, avec ses jetons, est donn e par la Figure II.12b). La transition t4 mod elise lusurpation de la session TCP avec la machine de conance. La place p7 mod elise l etablissement dune connexion par la cible avec la machine de lattaquant quelle croit de conance. La transition t5 repr esente la modication du chier rhost de la cible, permettant ` a lattaquant dobtenir un acc` es administrateur, et boucler sur une nouvelle attaque du m eme genre.
p0 t0 p0 t0

a)

b)

p1

p2

p3

p1

p2

p3

t1

t3

t1

t3

p4 t2

p5

p4 t2

p5

p6

p6

t5

t5

t4

t4

p7

p7

Figure II.12 Attaque de Mitnick mod elis ee en attack net (dapr` es [321]) Depuis ces travaux pionniers, et malgr e une lisibilit e moindre que celles des arbres dattaque, cette approche souple et puissante a fait des emules. Sans pouvoir etre exhaustif, on citera notamment les d eveloppements de Horvath et D orges combinant les r eseaux de Petri avec le concept de motifs de s ecurit e (security patterns ) [322], la gestion et le partage de ces motifs par un syst` eme de type Wiki propos ee par Stean et Schumacher [323] ou encore les travaux de Ten et al. qui mettent ` a prot les 49

capacit es de mod elisation des r eseaux de Petri pour evaluer la s ecurit e dun syst` eme SCADA [324]. Propre des r eseaux de Petri, on trouve en fait une grande diversit e de formalismes, rendant lappropriation et lindustrialisation de lapproche d elicate : ainsi, uniquement parmi les travaux cit es, Kumar et Spaford se basent sur des r eseaux de Petri color es (coloured Petri nets ), Dacier sur des r eseaux de Petri stochastiques classiques (SPN), McDermott sur des disjunctive Petri nets (sans r ef erence pr ecise), Horvath et D orges sur des reference nets [322], Ten et al. sur des GSPN [324]. On peut aussi par exemple ajouter lutilisation daspect-oriented Petri nets dans [325]. Par ailleurs, toute une s erie darticles sappuient sur les SAN pour mod eliser di erentes probl ematiques de s ecurit e : on mentionnera particuli` erement ceux de luniversit e de lIllinois Urbana-Champaign sur les architectures tol erantes aux intrusions (e.g. [326, 327]), et ceux de Rrushi sur la d etection dintrusions dans les centrales nucl eaires [328, 329]. Enn, plusieurs articles etablissent des correspondances formelles entre mod` eles ` a base de r eseaux de Petri et arbres dattaque. Cest le cas de Dalton et al. dans [330], et dune fa con plus convaincante de Pudar et al. dans [331]. Nous reviendrons sur certaines approximations de ces correspondances dans le Chapitre III Section 4.5. Notons seulement pour linstant que l` a encore, de nouvelles variantes de r eseaux de Petri sont employ ees (deterministic time transitions Petri nets dans [331]). ` c 2.3.5.2 Mod` eles alternatifs. A ot e de ces deux approches ` a forte visibilit e, on trouve un grand nombre de propositions alternatives. Plus eparses, elles visent ` a appuyer les analyses de risques ` a diverses etapes et avec une rigueur et des capacit es de mod elisation vari ees. Certaines ont fait lobjet de d eveloppements rest es isol es, dautres, tels les graphes dattaque ou les approches bas ees sur les r eseaux bay esiens, ont une visibilit e plus signicative. Quelques mod` eles isol es. En 1992, Caelli et al.[332] proposent par exemple une m ethodologie de description graphique et d evaluation des architectures de s ecurit e informatique et physique sous forme de r eseau liant menaces et contre-mesures. Ces derni` eres y transforment les premi` eres jusqu` a lacceptation, au gr e des liens constituant le r eseau. La nature des eventuelles boucles form ees permet didentier des situations favorables, ou au contraire probl ematiques pour la s ecurit e de lensemble. Un syst` eme dindice de menace compl` ete le formalisme pour op erer des quantications. En 1994, Dacier embarque les r eseaux de Petri dans un formalisme de plus haut niveau, les graphes de privil` eges, qui mod elisent la progression de lattaquant dans lobtention de droits dacc` es le menant a son objectif [257]. Dans un tel graphe, un nud repr ` esente un ensemble de privil` eges, un arc une m ethode pour transf erer ces privil` eges ` a lattaquant, correspondant ` a lexploitation dune vuln erabilit e. Le temps et les eorts n ecessaires ` a chaque etape sont mod elis es par des processus stochastiques de loi exponentielle ; le mod` ele int` egre cependant la m emoire de lattaquant qui ne peut repasser par des etats de privil` eges d ej` a acquis, et son bon sens , qui lemp eche de r egresser. Dans ces hypoth` eses, les chemins critiques sont identi es dans le graphe de Markov sans circuit form e. En 1996, Meadows repr esente graphiquement dans une approche beaucoup plus informelle des attaques sur les protocoles cryptographiques, en articulant les etapes ` a franchir dans un graphe orient e [333]. La dicult e de chaque etape est indiqu ee par un code couleur ; le formalisme est essentiellement visuel et na pas de capacit es de quantication. Notons que Meadows proposera un mod` ele graphique beaucoup plus rigoureux ult erieurement, en faisant correspondre un langage de sp ecication formel (NPATRL) ` a une repr esentation darbre de d efaillances [334]. En 1997, Moskowitz et Kang d ecrivent un mod` ele proche des diagrammes de abilit e (cf. Section 2.2.3), sans pour autant indiquer une telle liation [335]. Les mesures de s ecurit e sont connect ees en s erie ou en parall` ele dans un graphe orient e partant dune source, origine de la menace, ` a un puits, objectif de lattaque. Le graphe permet didentier les insecurity ows et de les quantier par des calculs de probabilit es. Plus pr` es de nous, McQueen et al. introduisent les graphes de compromission (compromise graph ) en 2006, dont ils illustrent lemploi pour lattaque dun syst` eme SCADA [336]. Les nuds du graphe repr esentent les etapes dune attaque et les ar etes les temps n ecessaires ` a leur r ealisation (TTC pour Time To Compromise ), d enis en fonction du nombre de vuln erabilit es connues et du niveau de lattaquant. Cinq types de compromission sont consid er es : reconnaissance, br` eche du p erim` etre, p en etration, escalade (de privil` ege), dommage. Le mod` ele permet de comparer lecacit e de di erentes mesures de s ecurit e en comparant le TTC du chemin le plus court dans chaque cas. Byres et Leversage reprennent une approche similaire dans [337, 338], en la couplant ` a une d ecomposition de lattaque selon les zones darchitecture concern ees du syst` eme vis e et quelques adaptations quant au mode de calcul des TTC. 50

Graphes dattaque. En 1998, Phillips et Swiler sont les premiers ` a introduire la d enomination de graphe dattaque (attack graph ) [339, 340], par la suite largement reprise. Constatant les limites des approches ` a base darbres inspir ees des mod` eles de s uret e, ils sugg` erent dutiliser des graphes dans lesquels un nud repr esente un etat possible du syst` eme durant le d eroulement de lattaque (niveaux dacc` es logique de lattaquant et eets de lattaque sur plusieurs machines ` a ce point du d eroulement), et une ar ete repr esente un changement d etat provoqu e par une action de lattaquant. Le graphe est g en er e automatiquement ` a partir de trois types dentr ee : des attack templates (repr esentations g en eriques dattaques incluant les conditions n ecessaires ` a leur r ealisation), une description d etaill ee du syst` eme attaqu e (topologie, congurations des composants, etc.), et une description du prol de lattaquant (capacit es, outils, etc.). Des quantications sont r ealisables en attribuant des poids aux ar etes, probabilit es ou temps moyens de succ` es, et en cherchant les plus courts chemins dans le graphe. ` partir de 2002, Sheyner contribue largement ` A a populariser le terme en associant les graphes dattaque aux techniques de model-checking [341, 263]. Pour limiter les risques dexplosion combinatoire, de multiples m ethodes sont alors d evelopp ees : Amman et al. [342] contraignent le graphe par une propri et e de monotonie, eliminant les retours en arri` ere en termes dobtention de privil` eges ; Noel et Jajodia prennent en compte des aspects de conguration [343, 344]. En 2006, Ou et al. optimisent la repr esentation et la g en eration des graphes dattaque dans [345], les transformant en graphes dattaque logiques (logical attack graphs ) de taille polynomiale avec le nombre de composants du r eseau informatique analys e. Au m eme moment, Lippman et al. proposent des multiple-prerequisite graphs (graphes a pr ` e-requis multiples) qui limitent aussi tr` es fortement la complexit e des graphes (dans certains cas, lin eairement avec la taille du r eseau) [346]. Ces m emes auteurs ont r edig e un etat de lart particuli` erement complet sur les contributions du domaine entre 2002 et 2005 [347]. En 2006, Mehta et al. donnent un algorithme de classement des chemins du graphe dans [348]. En 2008, Malhotra et al. font de m eme [349] en sappuyant sur la notion de surface dattaque, pr esent ee en Section 2.3.4. Wang et al. introduisent une m etrique int egrant les probabilit es dexistence des vuln erabilit es consid er ees dans le graphe [350]. La grande majorit e des auteurs cit es ont egalement travaill e sur les aspects de visualisation (e.g. [351, 352, 353, 354]). Kotenko et Stephashkin d ecrivent quant ` a eux dans [355] une plate-forme logicielle compl` ete de mise en uvre des concepts et m etriques des graphes dattaque. Sur un plan plus th eorique, Braynov et Jadliwala etendent leur utilisation ` a la participation de plusieurs attaquants [356]. Dawkins et Hale d eveloppent un concept voisin des graphes dattaque nomm e cha nes dattaque (attack chains ) [357]. Elles reposent sur une approche d eductive arborescente, mais permettent egalement des raisonnements inductifs par le biais de goal-inducing attack chains, pour extraire les sc enarios menant a un but donn ` e. Les mod` eles sont aussi capables de g en erer des arbres dattaque, quantiables par les m ethodes classiques. Les aspects de mise en uvre logicielle sont pr ecis es dans [358]. Approches bas ees sur les r eseaux bay esiens. En 2005, Liu et Man utilisent pour la premi` ere fois les r eseaux bay esiens en s ecurit e informatique [359], dans une approche inspir ee des graphes dattaque pr ec edemment discut es. Leur graphe dattaque bay esien est constitu e de nuds repr esentant des variables al eatoires binaires mod elisant l etat de compromission dune machine, et dar etes repr esentant les relations de d ependance probabiliste entre ces nuds. Il est construit automatiquement par mise en correspondance des vuln erabilit es des machines et de templates dattaques, ` a la fa con de Phillips et Swiler. Loriginalit e tient dans le param etrage et les quantications possibles, exploitant les capacit es des r eseaux bay esiens (cf. Section 2.2.3). Dans la suite des travaux de Wang et al. evoqu es pr ec edemment, Frigault et al. emploient en 2008 des r eseaux bay esiens pour mod eliser des d ependances entre vuln erabilit es : lexploitation r eussie dune vuln erabilit e peut le cas ech eant faciliter lexploitation dune autre dans la progression de lattaquant [360]. Les probabilit es individuelles des vuln erabilit es sont estim ees selon leur note CVSS 35 , puis combin ees selon les relations causales mod elis ees par le r eseau bay esien. Wang et al. augmentent ensuite leur mod` ele de la dimension temporelle en sappuyant sur des r eseaux bay esiens dynamiques dans [360]. Ils sinspirent dAn et al., qui les avaient utilis es d` es 2005 pour mod eliser les risques datteinte ` a la vie priv ee dans une base de donn ees [362]. Sommestad et al. sappuient aussi sur les techniques bay esiennes dans une s erie de papiers initi ee en 2008 [363, 364, 365, 366, 367]. Leur approche est plus analogue ` a la construction darbres dattaque que celle de Wang et al.. Ils emploient un formalisme evolu e de r eseaux bay esiens : les diagrammes dinuence etendus [368] (extended inuence diagrams, EID). Les variables al eatoires y sont repr esent ees
35. Common Vulnerability Scoring System (CVSS, pr esent e en Section 2.3.4). Houmb et al. combineront aussi CVSS et r eseaux bay esiens dans le cadre danalyses de risques [361].

51

graphiquement par des nuds de chance (chance nodes ). Ils prennent des valeurs sur une echelle discr` ete et sont connect es entre eux par des arcs de cause (causal arcs ), qui mod elisent des liens de cause ` a eet, ou par des arcs de d enition (denitional arcs ) qui mod elisent des relations plus arbitraires. Le formalisme sappuie aussi sur les notions de nuds de d ecision (decision nodes ) et de nuds dutilit e (utility nodes ) (cf. les articles pr ecit es pour plus de pr ecisions). La Table II.6 pr esente les principaux composants des diagrammes dinuence etendus. Les EID g en eralisent les arbres dattaque classiques mais egalement les arbres de d efense (cf. Section 2.3.5.1). Ils mod elisent en plus les facteurs dinuence des valeurs qui correspondraient aux feuilles de ces structures equivalentes. La Figure II.13 repr esente un exemple tir e de [365]. La partie sup erieure (nuds en gris fonc e) est un equivalent darbre dattaque ` a trois feuilles, dont lobjectif est de r eussir une authentication par mot de passe. La partie m ediane (nuds en gris clair) correspond aux contre-mesures qui seraient ajout ees dans un formalisme type defense tree . Enn, la partie inf erieure (nuds en blanc) correspond ` a la mod elisation des el ements inuen cant lecacit e des contre-mesures ; elle est sp ecique aux formalismes bay esiens. Notons que la r ef. [367] applique cette approche ` a la mod elisation s ecurit e de syst` emes de communication du r eseau electrique. Table II.6 Syntaxe des diagrammes dinuence etendus
Type de nud

Nud dutilit

Nud de dcision

Nud de chance

Type de relation

Relation causale

Relation informationelle

Relation de dfinition

Succeed to bypass logical access control

Unauthorized access to data

AND

0*

Succeed to bypass password authentication

OR
Succeed in obtaining password

OR
Succeed to bypass password authentication

OR
Succeed with dictionary attack

Existence of default password

Passwords used in multiple systems

Personnel susceptible to social engineering

Limited number of logon attempts

Minimum password strength

Size of salt

Strength of hash algorithm

OR

1*

OR

1*

OR

1*

MIN 1*
Personnel X password strength

Password Y is default password

Password Y used in multiple systems

Personnel X susceptible to social engineering

Password assigned automatically

Personnel X has participated in awareness session

Personnel X has received security training

Existence of password policy

Use of active password checker

Personnel X covered by security awareness & training program

Figure II.13 Mod elisation en diagramme dinuence etendu de lattaque dun mot de passe [365]

52

Approches d eriv ees des diagrammes de cas dutilisation UML 36 . Parmi ces approches, on citera notamment les abuse cases de McDermott et Fox [369], les security use cases de Firesmith [370] ou encore les misuse cases de Sindre et Opdahl [371, 372, 373, 374, 375] (et augment es par Rstad dans [376]). Ces derniers sont les plus r epandus. Ces techniques ne sont pas sp eciquement d edi ees ` a la mod elisation du d eroulement des attaques, mais visent plus g en eralement ` a saisir les comportements malveillants ` a prendre en compte dans l elaboration dexigences de s ecurit e et pour leur explication. Leur souplesse permet cependant de mod eliser graphiquement des sc enarios dattaques de fa con expressive, mais sans formalisme math ematique supportant les quantications. Elles peuvent ceci-dit etre coupl ees avec dautres types de mod` eles permettant ce type danalyse, dont notamment les arbres dattaque. Opdahl et Sindre comparent ces deux techniques et leur appropriation respective par les utilisateurs dans [377]. Leur int egration semble etre non seulement simple, mais egalement utile et pertinente [378, 379]. ` noter que Sindre a aussi adapt A e un autre type de diagramme UML, les diagrammes dactivit e (activity diagrams ), ` a la s ecurit e : les mal-activity diagrams [380] sont pr esent es comme une alternative aux misuse case pour les situations o` u ces derniers sont consid er es par lauteur comme mal-adapt es. Cest notamment le cas des situations comprenant des nombreuses interactions ` a lint erieur du syst` eme, ou en dehors du syst` eme ` a sp ecier. Les cas d etude portent principalement sur des attaques type social engineering . Ce formalisme na pas eu le succ` es de misuse case, nous ne le signalons qu` a des ns de couverture th ematique. 2.3.6 Vue macroscopique des techniques de mod elisation graphique dattaque

Nous donnons page suivante dans la Table II.7 une vue macroscopique des familles de mod elisation graphique dattaque sur la base des descriptions pr ec edentes. Les formalismes nayant fait lobjet que de travaux isol es ne sont pas mentionn es (e.g. le mod` ele de Caelli et al. [332] ou les insecurity ow diagrams [335] de Moskowitz et Kang). De plus, les formalismes ont et e regroup es par famille de mod` eles, selon la technique principale sous-jacente. Ces familles ont elles-m emes et e divis ees en deux cat egories : mod` eles statiques et mod` eles dynamiques 37 . Pour chaque famille, une rapide description de la technique et des types de r esultats produits est donn ee. Elle saccompagne dune synth` ese des points forts, limites et hypoth` eses n ecessaires. Ces derniers el ements sappuient principalement sur lanalyse donn ee par les promoteurs des di erents formalismes dans les articles cit es, sur des articles comparant explicitement certains dentre eux (e.g. [381, 323, 377]), et dans certains cas, sur notre propre appr eciation. 2.3.7 Tableau r ecapitulatif des techniques d evaluation en s ecurit e

La Table II.8 donne dans les pages suivantes une vision synth etique des di erents outils et techniques d evaluation pr esent es pour le domaine de la s ecurit e.

36. Unied Modeling Language (UML, http://www.uml.org/). ` noter que les r 37. A eseaux bay esiens ont et e class es dans les mod` eles statiques : lemploi des r eseaux bay esiens dynamiques en s ecurit e, cit e en Section 2.3.5.2, est jug e trop marginal pour etre ici consid er e.

53

Table II.7 Vue macroscopique des principales familles de mod elisations graphiques dattaque
R esultats qualitatifs Identication des sc enarios dattaque. Identication des points faibles. Probabilit e de l ev enement redout e, Contribution des feuilles (selon nature). Eet des contre-mesures. Faciles a ` appr ehender. Hi erarchiques. Utilisation r epandue. Extensions du formalisme incr ementales. R esultats quantitatifs Points forts Hypoth` eses & limites Quantications conditionn ees par lind ependance des feuilles. Mod` eles statiques. Pas de boucles/cycles. Mod` eles statiques. Lisibilit e limit ee (beaucoup dinformation non repr esent ee).

Famille et r ef.

Type/Description

Arbres dattaque (attack trees, threat trees, protection trees, vulnerability trees,...) [277, 22, 285, 310, 318, 291] Peu adapt es aux consid erations qualitatives. On perd notamment les notions de coupes minimales propres aux arbres dattaque. Tr` es vari es. En outre, calcul de distributions marginales en fonction de valeurs observ ees ou estim ees. Force des liens, importance des nuds.

Mod` eles statiques

Mod` eles ` a base de r eseaux bay esiens / diagrammes dinuence [359, 365, 367]

Diagrammes UML adapt es a ` la s ecurit e (abuse case, misuse case, security use case ) [369, 370, 371, 375, 376]

Pas directement.

Arbres logiques articulant actions et etapes ` a franchir (feuilles et portes OU et ET) vers un objectif dattaque (sommet). Les contre-mesures sont parfois repr esent ees. Graphes de liens conditionnels entre variables al eatoires ; tables de probabilit es conditionnelles associ ees. Plut ot utilis es en s ecurit e sous des formes evolu ees type diagrammes dinuence. Extensions des diagrammes de cas dutilisation UML pour la s ecurit e. Utilis es plut ot pour formaliser des exigences de conception. Sp ecication visuelle de cas probl ematiques en termes de s ecurit e (violation de politique), et interactions avec les cas dusage normaux. G en eralisent les arbres dattaque (pouvoir de mod elisation sup erieur). Prise en compte des incertitudes, int egration de sources multiples pour la d enition des param` etres. Facilit e de construction. Capacit e dint egration et dassemblage avec dautres formalismes.

Mod` eles dynamiques

54
Identication sc enarios dattaque. des Probabilit e de l ev enement redout e. Contribution des feuilles (selon nature). Eets de contre-mesures. Identication des sc enarios dattaques. En th eorie, temps moyen de succ` es (non document e en s ecurit e). Identication de sc enarios dattaques. Selon les variantes.

Non adapt es ` a certains types dattaques interactives. Tr` es macroscopiques. Descriptions textuelles et certaines informations importantes non repr esent ees. Grand pouvoir de mod elisation. Communaut e scientique et utilisatrice importante. Nombreux outils. Diversit e des formalismes. Explosion combinatoire pour les traitements. Expertise n ecessaire.

Mod` eles ` a base de r eseaux de Petri [278, 321, 324, 331]

DFT (Dynamic Trees) en s ecurit e [320]

Fault

Conservent le caract` ere hi erarchique et une partie de la s emantique des arbres dattaque. Automatisation. Nombre de situations couvertes.

Graphes dattaque [339, 341, 342, 347, 350]

Mod elisation dinteractions complexes (concurrences, synchronisations, boucles, partages...) a ` laide de places, arcs, transitions et jetons. En GSPN, sp ecication compacte de graphes de Markov. Arbres dattaque avec portes sp eciques mod elisant les aspects temporels et les d ependances. Graphes g en er es par model-checking ou construction automatis ee. Nombreuses variantes.

Peu document es et utilis es en s ecurit e (un seul papier recens e). Lisibilit e des portes discutable. Explosion combinatoire. Probl` emes de lisibilit e des r esultats.

Table II.8: Synth` ese des techniques d evaluation de s ecurit e pr esent ees R esultats qualitatifs Certication validant l evaluation de fonctions de s ecurit e dun produit selon di erents degr es dassurance EAL 1 a ` 7. R esultats quantitatifs D epend du niveau. Limites Processus complexe, long et co uteux. R ef. ISO 15408 [258] Origines Filiation avec lOrange Book (TCSEC) puis les ITSEC.

Technique Crit` eres Communs

Utilisation Tr` es utilis es dans les administrations. Produits informatiques de s ecurit e. Internationalement reconnus.

Certication ISA Secure IEC/ISO 27001 Non.

Informatique industrielle. Transverse.

Certication EDSA (3 niveaux). Certication de lorganisation evalu ee.

D epend du niveau.

EDSA [259] IEC/ISO 27001 [115]

ISA 99 Adapt e du standard britannique BS 7799.

Sch ema emergeant, en evolution. Essentiellement proc edural. Certication peu r epandue en France.

Validation formelle.

D epend des mod` eles.

Expertise. Attaques en dehors du mod` ele.

[382, 383, 384]

55
Variable. En g en eral, identication, hi erarchisation, traitement et communication du risque. Eventuellement (la m ethode peut faire appel ` a certains stades a ` des outils quantitatifs).

Mod` eles formels de politique dacc` es

Conception de produits de s ecurit e pour secteurs sensibles (militaire, banque, infrastructures critiques...).

BellLapadula, Biba, Orange Book

M ethodes qualitatives danalyse et de gestion de risques

G en eriques. Chaque secteur privil egie une approche sur des bases historiques. Utiles en conception comme en exploitation.

Description R ef erentiel d evaluation normalis e extr emement modulaire. Distingue notamment le p erim` etre, les fonctions de s ecurit e et le niveau d evaluation. R ef erentiel d evaluation. Sch ema de gestion de la s ecurit e de linformation : proc edures, documentation, PDCA (Plan-Do-CheckAct ). Cadre dexpression et de v erication formelle (math ematique) dexigences de s ecurit e. Surtout contr ole dacc` es et autorisation. Nombreuses m ethodes, mais suivant toutes une approche assez similaire incluant la caract erisation des menaces, des vuln erabilit es et de la criticit e des cons equences. Compromis profondeur de lanalyse et facilit e de maintenance / suivi de l evolution du risque d elicat ` a trouver. IEC/ISO 27005 [118] NIST SP800-53 [111] etc. Finance.

Tests dintrusion

G en eralis ee.

Plusieurs modalit es possibles selon le niveau dinformation accord e aux auditeurs et aux audit es. S erie de tests techniques automatis es par logiciel. Identication de vuln erabilit es. % de vuln erabilit es sur une base donn ee.

Identication de vuln erabilit es. Eventuellement, pr econisations dam eliorations.

Eventuellement. OSSTMM [268] Militaire. Red team de Los Alamos et Argonne Labs.

Scanners automatis es de vuln erabilit es

Tout secteur. Emploi g en eralis e.

Tr` es d ependant de lexpertise des auditeurs. Sensibles sur syst` emes en production, notamment en info. industrielle. Vision tr` es incompl` ete des vuln erabilit es.

Mesures / m etriques de la vuln erabilit e Identication de sc enarios dattaques. Evaluation de strat egies de d efense. Selon mod` eles, calcul probabilit es et/ou temps moyen de succ` es. Parfois autres m etriques.

G en eral.

Par d enition.

Domaine sonnant et consensus.

foisans

[250] [251, 252]

Premiers outils d ebut des ann ees 90 (e.g. COPS [270] en 1990, SATAN [271] en 1993.

Mod elisations graphique dattaque

Essentiellement acad emiques, sauf pour les arbres dattaque.

D epend du mod` ele. Les arbres dattaque sont statiques.

Cf. Table II.7.

Ann ees 80, Militaire.

56

Tr` es nombreuses propositions (e.g. attack surface, CVSS) Mod` ele dominant = arbres dattaque, mais nombreux autres mod` eles, dont ceux ` a base de r eseaux de Petri.

Inspirations r eciproques et fertilisations crois ees

S uret e et s ecurit e ont longtemps evolu e comme deux disciplines distinctes, anim ees par des communaut es cloisonn ees d eveloppant chacune de leur c ot e des outils et m ethodes adapt es ` a leur domaine [20, 21]. Pourtant, comme nous lavons montr e en Section 1.1, les similarit es sont nombreuses, et les outils de lun peuvent bien souvent trouver une utilisation dans lautre, modulo certaines adaptations. Ce constat a et e etabli d` es le d ebut des ann ees 90, en outre par Jonsson [385] ou Brewer [386], mais les ponts sont longs ` a b atir entre les communaut es, encore aujourdhui tr` es segment ees. Nous dressons dans cette section un panorama des fertilisations crois ees entre s uret e et s ecurit e recens ees dans la litt erature.

3.1
3.1.1

De la s uret e` a la s ecurit e
Concepts architecturaux

Transposition de techniques de tol erance aux fautes ` a la s ecurit e (tol erance aux intrusions). La tol erance aux fautes est une des grandes cat egories de techniques de s uret e de fonctionnement [16]. Elle vise ` a permettre au syst` eme de remplir sa fonction et assurer le service voulu en d epit de fautes. Les techniques classiques de tol erance aux fautes incluent la redondance, la diversication ou encore la s eparation [41]. Elles sont mises en uvre de longue date en s uret e de fonctionnement dans les secteurs sensibles tels que le spatial ou le nucl eaire, notamment pour les syst` emes assurant des fonctions de s uret e. Le principe de tol erance aux fautes na et e consid er e, puis transpos e, au domaine de la s ecurit e que tardivement : celui-ci na longtemps consid er e que les aspects de pr evention et de d etection dattaques (i.e. fautes de nature malveillante, provoqu ees par des intrusions ou des codes hostiles) [386]. Les premi` eres transpositions sont men ees au milieu des ann ees 80, o` u le LAAS introduit le concept de tol erance aux intrusions (intrusion tolerance ) [387, 388], et propose une application de ce concept ` a travers une technique dite de fragmentation-r eplication . Inspir ee de [389], elle sera am elior ee dans de nombreux travaux (e.g. [390]) sous lappellation fragmentation-redondance-diss emination (FragmentationRedundancy-Scattering, ou FRS). Les principes de redondance y sont mis ` a prot pour prot eger linformation en condentialit e, en int egrit e et en disponibilit e par un d ecoupage sp ecique en fragments redond es. A la m eme p eriode, Dobson et Randell de luniversit e de Newcastle upon Tyne au RoyaumeUni d efendent une approche similaire, d esign ee par security fault tolerance [391]. Ils soulignent plus largement la pertinence des outils et des approches de la s uret e de fonctionnement en s ecurit e informatique, et militent pour leur utilisation. Les equipes du LAAS comme celles de Newcastle partagent le m eme constat quant aux limites inh erentes aux approches alors classiques de la s ecurit e, centr ees sur la pr evention et la d etection de fautes. La complexit e des syst` emes, leur nature de plus en plus distribu ee, limpr evisibilit e des attaquants rendent h elas les intrusions et les attaques r eussies in evitables : les syst` emes doivent etre aussi con cus pour les tol erer. Lid ee fait or` es, le concept de tol erance aux intrusions traverse lAtlantique [392], et au gr e de la multiplication des travaux, va progressivement donner naissance ` a une discipline aujourdhui encore exploratoire mais bien structur ee. Verissimo en donne une excellente synth` ese dans [393]. Les approches de tol erance aux intrusions ont notamment b en eci e de grands projets de recherche collaborative, notam ment aux Etats-Unis sous limpulsion du DoD (programmes ITS et OASIS notamment 38 ) mais egalement en Europe dans le cadre du Programme Cadre de Recherche et D eveloppement (PCRD) europ een. On citera en particulier le projet MAFTIA 39 [394], men e de 2000 ` a 2003, et ses r esultats scientiques dans le domaine des protocoles et intergiciels pour les applications Internet tol erantes aux intrusions [395]. Par ailleurs, la tol erance aux intrusions est de plus en plus consid er ee comme une composante de notions plus larges comme la survivability, dans le sillage des travaux de luniversit e Carnegie Mellon sur ce concept [396], et la r esilience [397], autour de laquelle une grande partie de la recherche europ eenne du domaine semble aujourdhui sarticuler. Les r esultats du projet CRUTIAL 40 [398, 399], mais egalement ceux du projet AMBER 41 et du r eseau dexcellence ReSIST 42 , d edi es ` a l etude de la r esilience pour les grands syst` emes informatiques complexes, sinscrivent dans cette dynamique.
38. Le site http://www.tolerantsystems.org donne un acc` es aux di erents projets de ces programmes. 39. Malicious-and Accidental-Fault Tolerance for Internet Applications (MAFTIA, http://www.laas.fr/TSF/cabernet/ maftia/results/index.htm). 40. Critical UTility InfrastructurAL resilience (CRUTIAL, http://crutial.cesiricerca.it). 41. Assessing, Measuring, and BEnchmarking Resilience (AMBER, http://www.amber-project.eu). 42. Resilience for Survivability in IST (ReSIST, http://www.resist-noe.org).

57

Enn, dautres travaux se sont int eress es ` a des aspects sp eciques des techniques de tol erance aux fautes pour la s ecurit e, sans explicitement les int egrer dans un cadre plus global darchitecture tol erante aux intrusions. Ainsi, Littlewood et Strigini ont etudi e les liens entre redondance, diversit e et s ecurit e dans [31] ; Totel et al. mettent ` a prot des approches ` a base de diversication pour am eliorer les performances de syst` emes de d etection dintrusions [400]. D efense en profondeur. Lapproche dite de d efense en profondeur (defense-in-depth ) est aujourdhui consid er ee comme un principe fondamental en s ecurit e informatique. Dorigine militaire, elle a et e popularis ee et institutionnalis ee pour la s uret e des centrales nucl eaires. Une premi` ere d eclinaison se concr etise dans les r eacteurs modernes par trois barri` eres successives ind ependantes permettant de conner la mati` ere radioactive (gaine combustible, cuve r eacteur et enceinte r eacteur) [401]. Plus g en eralement, lid ee est que chaque dispositif doit a priori etre consid er e comme vuln erable ; chaque barri` ere doit etre ind ependante des autres et auto-susante pour assurer la protection de lenvironnement. La d efense en profondeur se manifeste aussi par le cumul dune conception sp eciquement tourn ee vers la s uret e, avec des proc edures et un contr ole op erationnel egalement adapt es ` a cette n. Elle conduit en outre ` a la diversication et la redondance des dispositifs de s uret e dans la centrale [402]. Repris ensuite en s ecurit e informatique (e.g. [403, 404, 113]), le concept de d efense en profondeur y est cependant utilis e de fa con assez oue et vari ee selon les contextes. Il se rapproche en fait bien souvent de la m etaphore dite du fromage suisse de Reason [405], elle aussi issue du monde de la s uret e et illustr ee par la Figure II.14. L ev enement redout e y survient ` a condition de plusieurs barri` eres d efaillantes et conditions accidentelles r eunies. La r ef erence [23] propose une analyse et une rationalisation de la d emarche de d efense en profondeur pour linformatique. Notons enn que lon rencontre aussi lexpression s ecurit e en profondeur (security in depth ) pour exprimer la m eme notion en s ecurit e physique.
Dfaillances latentes

Dfaillances latentes

Dfaillances actives

Dfenses dfaillantes ou absentes Accident (mishap)

Figure II.14 Illustration du mod` ele dit du Fromage Suisse de Reason [405]

3.1.2

Formalismes graphiques

Des arbres de d efaillances aux arbres dattaque. Nous navons identi e quune seule adaptation signicative dun formalisme graphique employ e en s uret e pour le domaine de la s ecurit e informatique : les arbres dattaque (et arbres de menaces). Inspir es des arbres de d efaillances, ils constituent plus globalement la seule adaptation dun outil s uret e` a avoir trouv e une place dans les pratiques danalyse de risques en s ecurit e en dehors du milieu acad emique, notamment aux Etats-Unis. La Section 2.3.5.1 en donne un historique et une description compl` ete. En synth` ese, les travaux de Schneier [22] ont largement popularis e ce type de mod elisation, employ e dans des contextes tr` es vari es (e.g. [292, 293, 261, 294, 295, 298, 301, 302, 303, 304]) et int egr e` a di erentes m ethodes danalyse de risques (e.g. [267, 266]). De nombreuses extensions ont et e apport ees, dont lint egration des contre-mesures (defense trees notamment [318]), linterfa cage avec la logique oue [315], la th eorie des jeux [314, 311, 312] ou encore la prise en compte daspects temporels et dynamiques (avec entre autres approches la r eutilisation des DFT [320]). 58

3.1.3

Analyses de risques structur ees

HAZOP en s ecurit e. Winther et al. sont les premiers ` a proposer lutilisation de HAZOP en s ecurit e informatique. Ils d enissent en outre des mots-guides plus adapt es que ceux employ es pour la s uret e des syst` emes programm es [406]. Dans sa th` ese, Foster adapte quant ` a elle HAZOP pour am eliorer la collecte et lanalyse des besoins et des exigences des protocoles de s ecurit e avant leur conception eective, dans une d emarche d enomm ee Vulnerability Identication and Analysis (VIA) [407, 261]. Srivatanakul [408] met ` a prot la formalisation par use cases UML des comportements attendus du syst` eme pour alimenter une version adapt ee de HAZOP dont il d ecrit pr ecis ement la d emarche dapplication. Les mots-guides l` a aussi sont sp eciquement choisis pour une utilisation s ecurit e. Plusieurs exemples dapplication d etaill es sont fournis. Globalement, lutilisation de HAZOP en s ecurit e permet didentier de nouveaux risques quune analyse macroscopique moins syst ematique aurait pu laisser echapper ; elle permet en outre de structurer le questionnement et force lanalyste ` a consid erer des sc enarios inhabituels. Cependant, comme en s uret e, le travail en equipe reste n ecessaire pour assurer une largeur de couverture susante. De plus, le niveau dabstraction, li e` a la liste de mots-guides restreinte, peut cacher des attaques et des risques qui ne seront pas consid er es : cest par exemple le cas des aspects communications dans lapproche de Srivatanakul [408]. Le choix des mots-guides est dans tous les cas critique et requiert la plus grande attention. Enn, la m ethode est assez fastidieuse ` a mettre en uvre et intrins` equement r ep etitive. Analyse des conditions insidieuses et Analyse transitoire (sneak analysis) en s ecurit e. En 2004, Baybutt propose une adaptation de lanalyse des conditions insidieuses (cf. Section 2.2.1) au domaine de la s ecurit e informatique, appliqu ee aux syst` emes industriels. Dans [409, 410], il expose une approche en neuf etapes, qui sappuie sur une analyse de la topologie r eseau de larchitecture ` a etudier pour identier les chemins dattaque potentiels. Ces chemins relient des sources (attaquants internes comme externes) vers des cibles, exploitant des vuln erabilit es ou contournant des syst` emes de s ecurit e informatique. Les r esultats sont consign es sous forme de tableaux, permettant egalement d elaborer de fa con syst ematique des recommandations. Evidemment, lanalyse d epend grandement de lexactitude et de la compl etude de la description de larchitecture en donn ee dentr ee [408]. Analyse par zone (ZSA, Zonal Safety Analysis). Srivatanakul pr esente dans sa th` ese une adaptation des concepts de lanalyse par zone, d ecrite en Section 2.2.1, ` a la s ecurit e [408]. Il y int` egre les dimensions physique et logique (informatique), mais egalement comportementale et temporelle. Il analyse di erents types de canaux pouvant exister entre ces zones : proximit e physique, d ependance fonctionnelle, d ependance environnementale, adjacence proc edurale et relation temporelle. La m ethode sappuie sur lutilisation de mots-guides de type HAZOP et formalise l` a aussi les r esultats de lanalyse sous forme de tableaux. Son int er et principal r eside dans la prise en compte de dimensions transverses, souvent ignor ees dans des analyses plus verticales. De FMEA ` a IMEA (Intrusion Modes and Eects Analysis). Gorbenko et al. adaptent lapproche FMEA, d ecrite en Section 2.2.1, ` a la s ecurit e en la rebaptisant IMEA (Intrusion Modes and Eects Analysis ). Les entr ees des tables ne correspondent plus ` a des modes de d efaillance accidentelle mais ` a des techniques dintrusion. Lapproche est d ecrite et employ ee sur une architecture de Web Services dans [411] ; une analyse par IMEA dun syst` eme SCADA est donn ee dans [412]. Des safety cases aux security assurance cases. La notion de safety case est utilis ee dans les industries ` a risques essentiellement au Royaume-Uni. Inge en donne un historique dans [413]. Un safety case peut etre d eni comme une argumentation structur ee, appuy ee par un faisceau d el ements probants, permettant d etablir de fa con convaincante, compr ehensible et valide quun syst` eme est jug e susamment s ur dans un environnement op erationnel donn e 43 . La motivation sous-jacente des safety cases est simple : plut ot que davoir ` a mettre ` a jour ` a un rythme soutenu les r eglementations en fonction de l evolution des pratiques et techniques, la charge est renvers ee sur les op erateurs, dont les safety cases sont r eguli` erement
43. Nous traduisons ici au mieux les d enitions donn ees en anglais dans [106] ( A structured argument, supported by a body of evidence that provides a compelling, comprehensible and valid case that a system is safe for a given application in a given operating environment ) et dans [414] ( A documented body of evidence that provides a convincing and valid argument that a system is adequately safe for a given application in a given environment. ).

59

 evalu es par les r egulateurs. Elle est donc sur le fond proche de la notion de d emonstration de s uret e utilis ee en France dans le nucl eaire, mais reste assez eloign ee de la conception etats-unienne [415], souvent plus prescriptive. Un safety case couvre typiquement [413] : la d enition du p erim` etre du syst` eme ou de lactivit e concern e, ainsi quune description d etaill ee de son contexte ou son environnement ; le syst` eme de gestion mis en uvre pour assurer la s uret e; la mention des exigences r eglementaires et l egales, les normes et r ef erentiels applicables associ es aux preuves de leur respect ; la preuve (evidence ) que les risques sont bien identi es et contr ol es de fa con appropri ee, et que le niveau de risque r esiduel est acceptable ; des garanties quant ` a lobjectivit e de largumentation et des preuves. La notion de safety case a et e transpos ee et g en eralis ee dans le domaine logiciel en assurance case [416]. Bien s ur, les assurance cases peuvent etre utilis es eux-m emes ` a des ns de s uret e [417, 416], mais egalement associ es ` a dautres propri et es. En outre, entre 2004 et 2007, un groupe de travail international sest r eguli` erement r euni pour travailler sur une adaptation du concept au domaine de la s ecurit e informatique (assurance case for security ou security assurance case ). Il incluait en outre des repr esentants du JRC de lUnion europ eenne et de luniversit e Carnegie Mellon. La r ef erence [415] donne une synth` ese de ses travaux, qui ont aliment e de nombreuses publications acad emiques et ouvert des pistes ` a ce jour encore pertinentes. En outre, lapproche semble avoir pris une dynamique industrielle aux Etats-Unis, 44 notamment via linitiative Build Security In du US CERT qui promeut les travaux de Carnegie Mellon eectu es par la suite [418, 419]. Enn, Kelly d ecrit dans sa th` ese [420] une notation d enomm ee GSN (Goal Structured Notation ) articulant graphiquement les arguments, preuves et justications constituant un safety case. Elle am eliore sa lisibilit e, mais aussi sa communication et sa maintenance. Une telle notation reste pertinente dans le cadre de security assurance cases pr ec edemment discut es. Moleyar et Miller sen sont aussi servi pour augmenter le formalisme des arbres dattaque et associer des contre-mesures aux vuln erabilit es [421]. GEMS (General Error Modeling System ). Dans [422], Brosto et Sasse militent pour prendre en compte d` es la conception les aspects non-techniques de la s ecurit e, et en particulier le facteur humain et la dimension sociotechnique des syst` emes consid er es. Ils proposent dappliquer pour cela le mod` ele GEMS (General Error Modelling System) de Reason [405], issu de la s uret e. GEMS distingue notamment les fautes latentes des fautes actives en prenant en compte le comportement humain, d epassant le cadre des analyses habituellement men ees en s ecurit e. Des niveaux SIL aux niveaux SAL. Le concept de SIL (Safety Integrity Level ) a, depuis son introduction au d ebut des ann ees 90, pris une place de plus en plus importante dans le domaine de la s uret e des syst` emes E/E/EP. Initialement introduit de fa con sectorielle dans des normes anglo-saxonnes (cf. la premi` ere version du standard militaire Def-Stan-00-55 [423] d` es 1991 au Royaume-Uni et lISA 84.01 en 1996 aux Etats-Unis [424]), il a par la suite et e g en eralis e et internationalis e par lIEC 61508 [110] (cf. Section 2.2.2). Kube et Singer proposent dans [425] des Security Assurance Levels, niveaux dassurance en s ecurit e inspir es des niveaux SIL de la s uret e ; un groupe de travail commun entre lISA 99, comit e technique de lISA sur la s ecurit e des syst` emes dinformatique industrielle, et lISA 84, en charge des aspects s uret e, continue depuis ces travaux [426]. Ils doivent etre prochainement int egr es ` a un document de la s erie normative ISA 99 [427]. De plus, la certication EDSA evoqu ee en Section 2.3.1 fait directement appel ` a ces notions de SAL et revendique explicitement la liation avec lIEC 61508 [259]. 3.1.4 Techniques de test

Injection de fautes. Les techniques dinjection de fautes, au niveau mat eriel (alt erations electriques ou radiatives) ou logiciel (corruption de variables, de registres ou de m emoires), font partie de larsenal
44. https://buildsecurityin.us-cert.gov/bsi/articles/knowledge/assurance.html

60

de la s uret e de fonctionnement depuis plusieurs d ecennies pour l elimination et la pr evision de fautes [41, 428]. Les techniques sappliquent ` a des syst` emes d ej` a r ealis es, eventuellement prototypes ou d` es les premi` eres etapes de la conception, en sappuyant sur des mod` eles de simulation. En 1996, Voas sugg` ere dadapter ces techniques pour la s ecurit e informatique, en injectant de fa con adaptative des entr ees erron ees dans un code applicatif pour provoquer des comportements anormaux du logiciel ` a des ns malveillantes [429]. Depuis, le principe a et e largement repris et les techniques am elior ees, aussi bien dun point de vue d efensif, pour la d ecouverte de vuln erabilit es en amont de la mise en production du logiciel, que dun point de vue oensif pour attaquer des applications existantes [430]. Mod` eles de croissance de abilit e (Reliability growth ) pour la s ecurit e. En 2005, Ozment [431] applique les techniques de pr ediction de fautes et d evaluation de la abilit e logicielle dites de reliability growth ` a la s ecurit e, mod elisant selon di erentes approches le rythme de d ecouverte de vuln erabilit es dans un logiciel. Rescorla avait sugg er e lapproche dans [432], mais Ozment approfondit consid erablement la d emarche, en sint eressant plus particuli` erement aux vuln erabilit es dOpen BSD. Les estimations issues des mod` eles doivent servir de m etrique de s ecurit e, notamment pour comparer di erents produits. Ozment pr ecise les hypoth` eses n ecessaires et les dicult es dune telle adaptation, il compare la qualit e des pr edictions eectu ees par les di erents mod` eles vis-` a-vis de lhistorique des vuln erabilit es de son cas d etude. Les r esultats obtenus sont encourageants, mais les donn ees dentr ee ne sont, de laveu m eme de lauteur, pas susantes pour asseoir la cr edibilit e de ses d eductions.

3.2
3.2.1

De la s ecurit e` a la s uret e
Du noyau de s ecurit e (security kernel ) au noyau de s uret e (safety kernel )

La concentration des fonctions critiques de s ecurit e pour un syst` eme dans un noyau distinct du reste du syst` eme, est une approche courante en s ecurit e informatique, mise en uvre d` es les ann ees 70 ` cette [433, 434]. A epoque, le noyau regroupe en fait les fonctions de contr ole n ecessaires ` a la mise en uvre des politiques multi-niveaux evoqu ees en Section 2.3.2 et dans lAnnexe B. En 1986, Rushby soutient que cette approche architecturale peut etre utile ` a dautres propri et es associ ees ` a la s uret e [435]. Il donne des pistes de formalisation et discute des implications pour les architectures logicielles. Quelques ann ees auparavant, Leveson avait egalement soulign e lint er et des approches architecturales ` a base de noyau pour les logiciels de s uret e [436]. Elle mettait notamment en avant les avantages dun noyau de taille et de complexit e r eduites, limitant les erreurs, et orant une meilleur maintenabilit e. Plusieurs architectures logicielles de s uret e ont depuis et e propos ees sur ces principes (e.g. [437, 438]). 3.2.2 Mod` eles formels pour les propri et es de s uret e

Nous avons evoqu e en Section 2.3.2 des mod` eles formels de s ecurit e, sp eciquement con cus pour caract eriser et contr oler rigoureusement les propri et es des politiques de contr ole dacc` es. Ces mod` eles formels de s ecurit e ont pour certains et e consid er es dans une probl ematique s uret e. En 1998, Simpson et al. [439] sinspirent de la propri et e de non-interference , introduite en s ecurit e par Goguen et Meseguer en 1982 [440], pour mod eliser rigoureusement un comportement fail-safe (faute sans impact sur la s uret e), fail-stop (faute et r eparations associ ees sans impact sur la s uret e) et fail-operational (faute et r eparations associ ees sans impact sur la s uret e, ni sur les aspects fonctionnels du syst` eme). La formalisation est faite en CSP (Communicating Sequential Processes ) [441]. Peu de temps apr` es, Stavridou et Dutertre [442] reprennent plus globalement lid ee dadapter les mod` eles formels de s ecurit e en s uret e, et elargissent notamment la r eexion ` a dautres propri et es de s ecurit e. Enn, Totel et al. proposent dans [443] un mod` ele de contr ole dint egrit e permettant lint egration de composants de niveaux de criticit e h et erog` enes (dont des COTS) dans des architectures ` a forts enjeux de s uret e. Des communications bidirectionnelles entre objets de criticit es di erentes peuvent y etre autoris ees sous certaines conditions et validations. Le mod` ele th eorique, orient e objet, a donn e lieu ` a des r ealisations exp erimentales dans le cadre du projet europ een GUARD 45 il y a une dizaine dann ees [444], et continue ` a susciter lint er et dans le domaine de lavionique (cf. les travaux r ecents du LAAS ` a ce sujet [42, 445]).
45. Generic Upgradable Architecture for Real-time Dependable Systems (GUARDS).

61

3.2.3

Vers plus de pr evention de fautes en s uret e

En 1993, Brewer constate dans [386] que la communaut e s ecurit e privil egie les approches de pr evention de fautes, tandis que la communaut e s uret e a tendance ` a privil egier les approches de tol erance aux fautes. Si la s ecurit e commence alors eectivement ` a sinspirer de ces derni` eres (cf. Section 3.1.1), il sugg` ere que la s uret e devrait faire de m eme pour les techniques pr eventives, et souligne notamment la pertinence du concept de reference-monitor, concept darchitecture proche du noyau de s ecurit e, permettant de mettre en uvre des politiques de s ecurit e rigoureuses par conception en contr olant toutes les demandes dacc` es aux ressources. 3.2.4 Utilisation des misuse cases en s uret e

Dans [446], Sindre examine lint er et du formalisme s ecurit e des diagrammes de misuse cases , quil a invent es, pour la s uret e. Il les compare notamment avec quatre approches classiques du domaine, ` a savoir les arbres de d efaillances, HAZOP, les diagrammes CCA et lAMDE (cf. Sections 2.2.3 et 2.2.1). Alexander a lui aussi consid er e une telle adaptation dans [447, 374]. La r ef. [448] rapporte une etude compar ee de lutilisation des misuse cases et de lAMDE par un groupe d etudiants sur un cas d ecole, permettant de mieux situer avantages et limites des deux approches. Les misuse cases ne sont pas adapt es a toutes les situations, notamment pour les syst` ` emes avec dominante de processus continus et physiques ; de plus, ils ne se substituent pas aux m ethodes traditionnelles de la s uret e telles que celles cit ees en Section 2.2, mais sinscrivent plut ot de fa con compl ementaire, en amont de celles-ci [446].

3.3

Un exemple dinuence mutuelle : niveaux SIL et niveaux EAL

Les sections pr ec edentes ont pr esent e des inuences m ethodologiques entre s uret e et s ecurit e` a sens unique : elles correspondaient soit ` a des adaptations de techniques ou dapproches du domaine de la s uret e vers celui de la s ecurit e (Section 3.1), soit de la s ecurit e vers la s uret e (Section 3.2). Ceci-dit, les inspirations et inuences entre ces deux communaut es ne sont pas syst ematiquement monodirectionnelles, et sinscrivent parfois dans une dialectique plus subtile. Nous lillustrons ici ` a travers lexemple des niveaux SIL et des niveaux EAL (Evaluation Assurance Levels ), evoqu es respectivement en Section 2.2.2 et Section 2.3.1. Contrairement ` a un niveau SIL dans son domaine, un niveau EAL ne donne pas dindication sur le niveau de s ecurit e dans labsolu du produit evalu e, mais sur la qualit e de l evaluation de fonctions de s ecurit e, d enies di eremment selon chaque evaluation. La compl ementarit e des deux approches, SIL et EAL, est remarquable [175, 21]. Elle a et e soulign ee ` a de nombreuses reprises aussi bien par la communaut e s ecurit e [425] que par la communaut e s uret e [449, 20]. Novak et al. sinspirent des deux approches pour d enir leur mod` ele de d eveloppement et dexploitation visant ` a int egrer s uret e et s ecurit e [450, 451, 29] (nous y reviendrons au Chapitre IV). Plusieurs projets europ eens ont travaill e au rapprochement des concepts de SIL et dEAL : d` es le second PCRD, le projet Drive Safely sint eresse ` a la compl ementarit e des niveaux ITSEC, anc etres des Crit` eres Communs, et des SIL dans ce qui etait encore ` a l epoque une version pr eliminaire de lIEC 61508 [449] ; cette d emarche est reprise par le projet ACRUDA 46 du 4e PCRD. Fin des ann ees 90, le projet SQUALE 47 [452] propose quant ` a lui dassocier ` a chaque grand attribut de la taxonomie de Laprie et Avizienis [16] un niveau de conance entre 1 et 4 (cf. Table II.9), formant un dependability prole . Sy ajoutent des niveaux, gradu es de 1 ` a 3, caract erisant la rigueur, le d etail et lind ependance des activit es d evaluation associ ees, dans lesprit des EAL. Le livrable [453] d etaille les correspondances entre les crit` eres SQUALE et les notions de SIL telles que d enies dans di erents standards, ainsi quavec dautres r ef erentiels comme la DO-178B en s uret e, les ITSEC et les Crit` eres Communs en s ecurit e. ` la suite du projet Drive Safely, lindustrie automobile britannique a A egalement poursuivi lint egration dapproches types SIL et EAL, pour aboutir ` a des r esultats int egr es dans les recommandations MISRA 48 [454]. La Section 3.1.3 evoque les travaux de Kube et Singer pour adapter les concepts de niveaux SIL en s ecurit e dans le domaine de linformatique industrielle [425]. On notera egalement di erentes passerelles etablies entre les niveaux EAL et les niveaux de la norme DO-178B du domaine de lavionique (cf. Section 2.2.2), comme celle propos ee par Alves-Foss dans [455].
46. Assessment Criteria and RUles for Digital Architectures (ACRUDA). 47. Security, Safety and Quality Evaluation for Dependable Systems (http://research.cs.ncl.ac.uk/cabernet/www. laas.research.ec.org/squale/). 48. The Motor Industry Software Reliability Association (MISRA, http://www.misra.org.uk).

62

Table II.9 Niveaux SQUALE

Attribut Availability (Disponibilit e) Condentiality (Condentialit e) Reliability (Fiabilit e) Integrity (Int egrit e) Safety (S uret e-Innocuit e) Maintenability (Maintenabilit e) Niveau de conance A1-A4 C1-C4 R1-R4 I1-I4 S1-S4 M1-M4

3.4

Synth` ese des fertilisations crois ees inventori ees

Les inspirations r eciproques pr ec edemment inventori ees ont et e op er ees sur des nombreux aspects, allant de concepts architecturaux (noyau, d efense en profondeur, utilisation de la diversit e) aux m ethodes formelles, en passant par les m ethodologies de test aux analyses de risques. La Table II.10 p. 65 regroupe les di erentes adaptations identi ees dans les pages pr ec edentes. On peut noter une large pr edominance des inspirations allant de la s uret e vers le domaine de la s ecurit e. Cela peut sexpliquer notamment par la maturit e plus avanc ee de la discipline, les premi` eres m ethodes danalyse etant apparues d` es la premi` ere moiti e du xxe si` ecle, alors que la probl ematique m eme de s ecurit e informatique navait alors pas lieu d etre [20]. Ceci-dit, la dynamique et lexposition grandissante des probl ematiques de s ecurit e ont conduit a la constitution dune communaut ` e scientique et technique aujourdhui vivace, structurant et outillant tous les jours un peu plus le domaine par des approches rigoureuses et originales. Il ne fait pas de doutes que les adaptations de techniques de s ecurit e aux probl ematiques sp eciques de la s uret e se multiplieront a lavenir. Nous pr ` esentons quelques pistes dans la section suivante.

3.5

ements de prospective El

Malgr e le nombre dinspirations r eciproques ayant d ej` a abouti ` a des adaptations fructueuses, la richesse des bo tes ` a outils des domaines s uret e et s ecurit e, et les barri` eres encore fortes entre les deux communaut es, laissent entrevoir encore un large potentiel de fertilisation crois ee. Nous proposons pour clore ce chapitre quelques el ements de prospective en la mati` ere. 3.5.1 De la s ecurit e` a la s uret e

Mod elisation formelle de comportements s urs. La Section 3.2.2 a pr esent e des travaux dadaptation de mod elisations formelles de politique s ecurit e en s uret e, men es dans les ann ees 90. Si les r esultats alors obtenus sont rest es tr` es th eoriques, ils semblaient prometteurs et ouvraient des perspectives int eressantes en termes de composition de propri et es pour lanalyse de syst` emes complexes. Ceci-dit, depuis, peu deorts semblent avoir et e investis dans ce type dexploration th eorique, alors que les mod` eles de s ecurit e ont continu e` a evoluer. Ladaptation ` a la s uret e de mod` eles formels de s ecurit e plus r ecents que ceux consid er es jusque l` a constitue ` a notre sens une piste de recherche dint er et. Analyse de risques. Si certaines m ethodes danalyse de risques s uret e ont et e adapt ees ` a la s ecurit e (e.g. HAZOP, cf. Section 3.1.3), nous navons pas identi e dadaptations men ees dans lautre sens. Pourtant, m eme si la formalisation des m ethodes danalyse de risques est plus r ecente en s ecurit e (cf. Section 2.3.3 pour des exemples), leur diversit e et leur utilisation toujours plus syst ematique dans ce domaine nous am` ene ` a les consid erer comme une r eserve did ees et dapproches m ethodologiques remarquable, qui pourrait sans nul doute inspirer la communaut e s uret e si elle sy penchait avec plus dattention. 3.5.2 De la s uret e` a la s ecurit e

Prise en compte du facteur humain. Comme d ej` a arm e en Section 1.1.4, limportance du facteur humain est un point commun fort entre s uret e et s ecurit e. Nous partageons le constat de Brosto et Sasse [422] : ces aspects b en ecient de longue date dapproches m ethodologiques structur ees en s uret e, dont pourrait largement b en ecier la s ecurit e, o` u leur prise en compte est plus r ecente. Or mis ` a part le 63

travail de ces auteurs (cf. le paragraphe sur ladaption de GEMS Section 3.1.3), nous navons pas identi e de mise ` a prot explicite du savoir-faire acquis dans le domaine de la s uret e en s ecurit e informatique. Sur la base de nos recherches bibliographiques, ce champ dinvestigation ne semble que trop peu explor e en comparaison de son potentiel. Mod elisations graphiques. Ladaptation de mod` eles issus de la s uret e en s ecurit e a d ej` a men e` a des r esultats signicatifs, notamment au travers des arbres dattaque pr esent es en Section 2.3.5.1. Ceci-dit, la richesse des mod` eles graphiques de la s uret e laissent entrevoir la possibilit e dadaptations encore non consid er ees, et aux perspectives tout aussi engageantes. En outre, alors que ladaptation des approches d eductives a men e aux arbres de menaces et aux arbres dattaque, les approches inductives, incarn ees par la m ethode des arbres d ev enements, sont encore ra` lexception notable de Smith et Lim dans les ann rement consid er ees en s ecurit e informatique. A ees 80 [280], nous navons en eet pas pu identier de telles utilisations. Notons quelles ont re cu plus dattention pour le risque terroriste [456, 457, 458, 459], ou en s ecurit e physique comme dans les travaux de ` notre connaissance, aucune des approches Cojazzi et al., en association avec des arbres dattaque [460]. A int egrant raisonnements inductifs et d eductifs, comme lanalyse par diagramme de Cause-Cons equence (cf. Section 2.2.3), na et e adapt ee au risque malveillant. Mais cest sans doute dans les formalismes graphiques ` a base de mod` eles dynamiques, plus adapt es aux probl ematiques de s ecurit e, que le potentiel parait le plus prometteur. Le Chapitre III est consacr e a ladaptation de lun dentre eux. `

Conclusion

Dans ce chapitre, nous avons commenc e par identier et caract eriser les grandes similitudes et les di erences dordre g en eral entre s uret e et s ecurit e. En outre, si la notion de risque joue dans les deux cas un r ole fondamental, la nature di erente du risque consid er e et la s eparation historique des communaut es de chaque domaine ont conduit, malgr e leurs similitudes, ` a l etablissement de pratiques et dapproches m ethodologiques distinctes. La deuxi` eme partie a dress e un panorama des bo tes ` a outils de chaque domaine en termes de techniques et m ethodes d evaluation, au travers desquelles les ressemblances et les di erences discut ees pr ec edemment transparaissent. Un rapprochement r ecent, et encore timide, des communaut es s ecurit e et s uret e a d ej` a donn e lieu ` a diverses adaptations dun domaine ` a lautre. Elles tirent b en ece du cousinage pr ec edemment caract eris e, tout en prenant en compte les sp ecicit es du domaine cible. Certaines, comme les arbres dattaque, ont d ej` a acquis une relative reconnaissance. Dautres ne font seulement qu emerger ou nont pas encore et e envisag ees. Le potentiel pour de futures inspirations r eciproques fructueuses reste important. Plusieurs pistes ont et e identi ees. Parmi elles, ladaptation de mod` eles graphiques dynamiques issus de la s uret e nous parait particuli` erement prometteuse. Le chapitre suivant d ecline une telle adaptation.

64

Table II.10 Table r ecapitulative des inspirations r eciproques entre s uret e et s ecurit e

Type

Concept darchitecture

Outil/M ethode s uret e Architectures de tol erance de fautes

Mod elisation graphique

Analyse de risques

Tests

R ef erences49 [388, 391, 393, 395] [388, 390] [396] [400] [403, 23] [276, 22] [320] [406] [407, 261] [408] [409, 410] [408] [415, 418, 419] [411, 412] [422] [425, 461] [429] [431]

65

Type Architecture Mod elisation graphique

Mod` ele formel

De la s uret e` a la s ecurit e Adaptation au domaine de la s ecurit e Architectures et techniques de tol erance aux intrusions Technique FRS ; survivable networks D etection dintrusions am elior ee par diversication D efense en profondeur D efense en profondeur Arbres de d efaillances Arbres de menaces, arbres dattaque Arbres de d efaillances dynamiques Arbres dattaque dynamiques HAZOP HAZOP pour la s ecurit e Vulnerability Identication and Analysis (VIA) HAZOPs Sneak Path analysis Sneak path security analysis Zonal analysis Security zonal analysis Safety cases, Goal Structured Notation (GSN) Security Assurance case FMEA IMEA (Intrusion Modes and Eects Analysis) GEMS GEMS pour la s ecurit e Niveaux SIL Niveaux SAL (Security Assurance Levels) Injection de fautes Injection de fautes, Fuzzing Software Reliability Growth modeling Software Security Growth modeling De la s ecurit e` a la s uret e Outil/M ethode s ecurit e Adaptation au domaine de la s uret e Noyau de s ecurit e (security kernel ) Noyau de s uret e (safety kernel ) Misuse case Misuse case pour la s uret e Propri et e de Non-interference... Formalisation de comportements s urs (fail-safe, fail...et propri et es de Non deducibility et de Causality stop,...) Mod` eles formels de contr ole dacc` es orient es int egrit e Politique de contr ole dint egrit e avec niveaux multiples (notamment Biba) de criticit e (mod` ele Totel) R ef erences49 [435, 436] [446, 447, 374, 448] [439] [442] [443]

49. Les r ef erences indiqu ees correspondent aux premiers travaux initiant ladaptation de la technique consid er ee ; il ne sagit pas dune bibliographie exhaustive.

66

Chapitre III

Adaptation du formalisme BDMP au domaine de la s ecurit e

Tous les mod` eles sont faux, mais certains sont plus utiles que dautres. (P. McCullagh et J.A. Nelder, Generalized Linear Models, 1989.)

e precedent chapitre sest achev e sur un panorama des inspirations r eciproques entre les m ethodes L et outils de la s ecurit e et ceux de la s uret e. Si ce type de d emarche a d ej` a conduit ` a de nombreuses adaptions fructueuses, il est encore riche de potentiel, notamment dans le domaine des mod` eles gra phiques. Les BDMP (Boolean logic Driven Markov Processes ) d esignent un formalisme de mod elisation graphique souple et puissant issu du domaine des etudes de abilit e et de s uret e. Dans ce chapitre, nous proposons de mettre ` a prot ses capacit es dans le domaine de la s ecurit e. Une telle adaptation permet de d epasser bien des limites inh erentes aux techniques traditionnellement utilis ees pour mod eliser des sc enarios dattaque. La Section 1 est une revue critique des grandes familles de techniques de mod elisation graphique dattaque. En Section 2, nous d eveloppons les principes et la th eorie fondant ladaptation des BDMP ` a la mod elisation dattaque. Les extensions sp eciquement con cues pour la prise en compte des aspects de d etection et de r eaction sont expos ees en Section 3. La Section 4 explique comment se situe ce nouveau formalisme par rapport ` a l etat de lart. La Section 5 pr esente les d eveloppements logiciels ayant abouti ` a un outil op erationnel mettant en uvre les travaux th eoriques pr ec edemment expos es. Enn, la Section 6 regroupe les consid erations associ ees aux hypoth` eses du mod` ele et ` a leurs limites ; y sont aussi d ecrites les perspectives ouvertes et les pistes de d eveloppements futurs.

67

1
1.1
1.1.1

Revue critique des formalismes de mod elisation graphique dattaque

Consid erations pr eliminaires
P erim` etre et objectif

Les formalismes de mod elisation graphique dattaque ont pour but de permettre la repr esentation graphique et lanalyse des di erents sc enarios envisageables par un attaquant pour atteindre un ou plusieurs objectifs. Le point de vue peut etre celui de lattaquant, celui du syst` eme attaqu e, ou encore un point de vue neutre. Ces mod elisations peuvent egalement prendre en compte des aspects d efensifs, dans le but d evaluer lecacit e de contre-mesures. Le domaine de la mod elisation graphique dattaque est foisonnant. Comme d ej` a mentionn e, cette richesse sexplique par lutilit e manifeste de ces approches dans la conduite des evaluations de s ecurit e et des analyses de risques : elles facilitent notamment la diversit e et la mise en commun n ecessaires des expertises dans la recherche de vuln erabilit es de syst` emes, et jouent egalement un r ole cl e dans la communication des risques et la sensibilisation relative ` a ceux-ci [323]. Un etat de lart est donn e dans le Chapitre II, en Section 2.3.5. Dans le cadre de la pr esente section, nous nous int eressons plus particuli` erement aux formalismes qui permettent la construction et la modication des mod` eles de fa con graphique, que ce soit ` a la main ou par linterm ediaire dun outil de saisie informatis e. Cette pr ecision a son importance car certains types de techniques mentionn ees en II-2.3.5 conduisent ` a des repr esentations graphiques, mais ne r epondent pas ` a ce crit` ere. Cest notamment le cas des approches ` a base de model-checking et de g en eration automatis ee de graphes dattaque, que nous ne prendrons pas en compte dans ce chapitre. Notre objectif est ici de d epasser les consid erations historiques et les descriptions du Chapitre II pour analyser de fa con plus critique l etat de lart du domaine. Nous nous appuyons pour cela sur les regroupements de la Table II.7 (p. 54) et approfondissons les premiers el ements critiques qui y guraient. 1.1.2 M ethodologie et cas dapplication

An de compl eter les appr eciations de la Table II.7 et dillustrer de fa con visuelle les di erentes familles de formalismes mentionn ees, nous avons mod elis e une m eme situation avec des approches repr esentatives de ces familles. Le cas d etude choisi, encore commun ement rencontr e dans le domaine de linformatique industrielle [462, 463] et introduit dans [464], peut etre d ecrit informellement de la fa con suivante : lobjectif de lattaquant est de prendre possession ` a distance dun serveur dacc` es distant accessible seulement par modem. Pour cela, on suppose quil ne peut trouver ce modem que par wardialing 1 . De plus, etant donn e la conguration du syst` eme et les ressources de lattaquant, celui-ci a pour seules alternatives dattaquer le mot de passe prot egeant lacc` es au serveur ou de trouver et exploiter une vuln erabilit e logicielle. Pour la premi` ere alternative, les seules techniques dattaque consid er ees sont lattaque dite par force brute (recherche exhaustive) et par social engineering ; pour la seconde alternative, aucune distinction nest faite quant ` a la nature de la vuln erabilit e recherch ee et exploit ee ; elle peut indistinctement concerner le modem, le serveur ou les protocoles de communication et dauthentication. La dimension d efensive nest pas pr ecis ee. NB : Cette description ne prend en compte quun nombre limit e dalternatives et reste tr` es g en erale an dune part dobtenir des mod` eles de petite taille facilitant la comparaison, et de rester dautre part a la port ` ee des approches pr esentant les capacit es de mod elisation les plus limit ees. Le param etrage des mod` eles nest pas abord e pour les m emes raisons. 1.1.3 Crit` eres d evaluation

Dans une approche librement inspir ee du livre de Bouissou sur la mod elisation en s uret e de fonctionnement [176], nous caract erisons chaque formalisme selon cinq crit` eres : facilit e dapprentissage : sans doute le plus subjectif des cinq crit` eres, elle exprime leort dappropriation impliqu e par une mise en uvre basique du formalisme. Elle est en outre li ee aux pr e-requis th eoriques n ecessaires pour lutiliser et au caract` ere plus ou moins intuitif de ses composants graphiques et de sa logique de fonctionnement ;
1. D esigne une technique de recherche de modem par balayage automatis e de plages de num eros t el ephoniques.

68

 lisibilit e : nous entendons par lisibilit e la capacit e du formalisme ` a produire des mod` eles faciles ` a appr ehender par lanalyste et supportant ses raisonnements. Elle est entre autres choses corr el ee ` a lexpressivit e, mais aussi au nombre des el ements graphiques n ecessaires ` a la saisie dun mod` ele ; puissance de mod elisation : ce crit` ere re` ete ` a la fois la largeur du spectre de sc enarios dattaques que peut couvrir le formalisme, et sa capacit e` a prendre en compte leurs aspects les plus signicatifs. Les capacit es ` a mod eliser s equences, r eactions ou cycles sont particuli` erement consid er ees ; capacit e de quantication : il sagit d evaluer ici dune part la diversit e et lad equation des quantications vis-` a-vis des besoins dune analyse de risques en s ecurit e, et dautre part, lexistence et lecacit e des techniques et outils permettant ces quantications ; capacit e de passage ` a l echelle : ce crit` ere correspond ` a la notion anglo-saxonne de scalability et daptitude ` a la mod elisation de syst` emes complexes par leur taille, le nombre de leurs el ements et la diversit e de leurs composants. Elle d epend, en outre, de la capacit e du formalisme ` a etre factoris e et compos e. Une note entre 1 (la plus faible) et 4 (la plus forte) est attribu ee pour chacun des cinq crit` eres, sur la base des el ements de l etat de lart donn e en II-2.3.5 ; elle est egalement fond ee sur la d eclinaison du cas d etude dans chaque formalisme. Malgr e nos eorts bibliographiques, une telle evaluation garde bien s ur une part non n egligeable de subjectivit e. Son but est avant tout daider ` a mieux situer les formalismes pr ec edemment evoqu es les uns par rapport aux autres, mais egalement de caract eriser le contexte et les carences ayant men e au d eveloppement de la contribution associ ee ` a ce chapitre, expos ee dans les Sections 2 et suivantes.

1.2
1.2.1

ements de comparaison El
Arbres dattaque

La Figure III.1 correspond ` a la mod elisation du cas d etude choisi pour cette section par arbre dattaque classique (cf. II-2.3.5.1). Le mod` ele etant statique, les notions de s equence ne sont pas prises en compte : par exemple, dans le cas d etude mod elis e, la recherche dune vuln erabilit e semble etre simultan ee avec son exploitation. Le formalisme est clair ; sa nature hi erarchique permettrait daner lanalyse de fa con cibl ee, en d ecomposant une ou plusieurs feuilles de larbre. Diverses techniques danalyse et de quantication inspir ees de la s uret e de fonctionnement sont envisageables (cf. II-2.3.5.1). La Table III.1 synth etise notre evaluation.
AND
Serveur conquis

OR
Wardialing Accs au serveur accord

OR
Authentification par mot de passe

AND
Vulnerability_found_and_exploite Vulnrabilit trouve et exploite

Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit

Figure III.1 Mod elisation du cas d etude par arbre dattaque

69

Table III.1 Appr eciation des arbres dattaque pour la mod elisation graphique dattaque
Crit` ere Facilit e dapprentissage Lisibilit e Puissance de mod elisation Capacit e de quantication Capacit e de passage ` a l echelle Note 4 4 2 4 3 Commentaires Lappropriation du formalisme est tr` es rapide, aussi bien sur le fond que sur la forme. La s emantique est simple et intuitive, avec un nombre d el ements limit e et stable. Les comportements s equentiels et les d ependances ne peuvent pas etre pris en compte. Impossible aussi de prendre en compte des boucles. Toutes les techniques associ ees aux arbres de d efaillances sont applicables. Quelques quantications sp eciques aux arbres dattaque (e.g. calcul de co ut, etc.). La nature hi erarchique du mod` ele et la possibilit e de raisonner en pattern permettent de traiter des sc enarios dattaques complexes sur des syst` emes r ealistes.

1.2.2

R eseaux bay esiens

Nous adoptons dans la Figure III.2 le formalisme utilis e par Sommestad et al. dans [363, 364, 365, 366, 367], ` a savoir les diagrammes dinuence etendus. Les relations entre les di erents nuds correspondent a des op ` erateurs AND et OR, ` a linstar des arbres dattaque, et qui sont ici traduits par des arcs de d enition (nous renvoyons le lecteur aux papiers de Sommestad et al. pour les tables de probabilit es conditionnelles correspondantes). Notons que dans ce cas de gure, il serait trivial de revenir ` a une mod elisation en r eseau bay esien classique, les arcs de d enition correspondant ` a des arcs d eterministes et le nud dutilit e Serveur conquis n etant pas n ecessaire. Le mod` ele r esultant est visuellement tr` es proche de larbre dattaque equivalent. Par rapport ` a celui-ci, il ne pr esente pas dint er et particulier, ni graphiquement, ni sur le plan des quantications. Ceci-dit, il serait simple dajouter des variables inuen cant le param etrage de r eussite des actions dans des modalit es quun arbre dattaque ne pourrait pas exprimer. Les r eseaux bay esiens ont un pouvoir de mod elisation sup erieur. La Table III.2 r esume notre appr eciation.
Logu sur le seveur Serveur conquis

AND
Wardialing Accs au serveur accord

OR
Authentification par mot de passe Vulnrabilit trouve et exploite

AND
Force brute Social engineering Identification dune vulnrabilit

AND
Exploitation dune vulnrabilit

Figure III.2 Mod elisation du cas d etude par diagramme dinuence etendu

1.2.3

Diagrammes de misuse case

La Figure III.3 correspond ` a la mod elisation en diagramme de misuse case 2 du cas d etude. Les ovales en noir repr esentent ` a proprement parler les misuse cases, qui correspondent ici aux techniques dattaque, les ovales en blanc correspondent aux utilisations normales du syst` eme (use cases ), qui vont
2. Ce terme fait echo aux diagrammes de use cases (cas dusage), le pr exe -mis indiquant une mauvaise utilisation. Il pourrait etre litt eralement traduit par cas de mal-usage , mais nous pr ef erons garder la d enomination dorigine. Par ailleurs, dans la litt erature, le terme misuse case d esigne par synecdoque ` a la fois le formalisme de fa con g en erale, un diagramme particulier, ou un type sp ecique d el ements composant ces diagrammes.

70

Table III.2 Appr eciation des r eseaux bay esiens pour la mod elisation graphique dattaque
Crit` ere Facilit e dapprentissage Lisibilit e Puissance de mod elisation Capacit e de quantication Capacit e de passage ` a l echelle Note 2 Commentaires Les bases th eoriques (probabilit es conditionnelles et th eor` eme de Bayes), bien que simples, doivent etre assimil ees m eme pour une utilisation basique. La prise en main est moins accessible que pour les arbres dattaque. Les r eseaux bay esiens bruts comportent tr` es peu dinformations visuelles. Des formes evolu ees comme les diagrammes dinuence etendus am eliorent un peu la situation. Plus g en eraux que les arbres dattaque, les mod` eles a ` base de r eseaux bay esiens restent des mod` eles statiques, mod elisant dicilement les aspects s equentiels. Il existe de nombreux outils de calcul, mais la diversit e des traitements est r eduite. Une partie de la complexit e des mod` eles peut etre trait ee dans les tables de probabilit es conditionnelles.

2 3 3 3

etre abus ees par lattaquant. La pr esence sur un m eme diagramme des misuse cases et de use cases est en soi une sp ecicit e du formalisme, permettant de mieux appr ehender les interactions et davoir une vue globale du syst` eme. Certaines relations entre les el ements ne sont pas repr esent ees mais peuvent etre sp eci ees en attributs des el ements graphiques, pour par exemple prendre en compte d eventuelles d ependances (pr e-conditions, post-conditions, notion de d eclenchement). Dans le pr esent cas d etude, ceci permet de pr eciser, mais de fa con non graphique, que la ligne de communication doit dabord etre trouv ee par wardialing avant de consid erer les autres misuse cases . De plus, comme le souligne un de ses cr eateurs [375], une des faiblesses du formalisme tient dans sa exibilit e m eme et la grande libert e dutilisation associ ee. Ainsi, une m eme situation peut etre mod elis ee de tr` es nombreuses fa cons, avec des descriptions et attributs associ es aux composants tout aussi vari es.

c na

Wardialing

menace Connexion modem

Trouve & expoite une vulnrabilit logicielle

Utilisateur

ten

tend Accs distant

Authentification par mot de passe

menace Force brute Attaquant

en

ac

Social engineering

Figure III.3 Mod elisation du cas d etude par misuse case Dans la Figure III.4, nous avons mod elis e le cas d etude avec la notation augment ee introduite par Rstad dans [376]. Le diagramme donne l` a encore une bonne vue densemble, et permet de dissocier les attaques (ici les misuse cases en noir) des vuln erabilit es exploit ees (indiqu ees en gris). La mod elisation par arbre dattaque tend ` a m elanger ces deux aspects, que ne distingue pas non plus le formalisme original des misuse cases. La Table III.3 synth etise notre appr eciation des diagrammes de misuse case selon les cinq crit` eres d evaluation convenus en d ebut de section.

71

 tend Connexion Modem

Ligne tlphonique ouverte

exploite Wardialing

tend tend

Serveur vulnrable

exploite

Trouve & expoite une vulnrabilit logicielle

Accs distant

Authentification

tend exploite

Mot de passe faible

Force brute

Utilisateur Faible culture de scurit exploite Social engineering Attaquant

Figure III.4 Mod elisation du cas d etude par misuse case etendu (notation de Rstad [376])

Table III.3 Appr eciation des misuse cases pour la mod elisation graphique dattaque
Crit` ere Facilit e dapprentissage Lisibilit e Puissance de mod elisation Capacit e de quantication Capacit e de passage ` a l echelle Note 3 2 1 1 2 Commentaires La s emantique est explicite, le formalisme tr` es souple dans son utilisation. Les diagrammes deviennent rapidement confus d` es que lon quitte les cas d ecole. Orient es sp ecication dans une approche formalis ee graphiquement, ils restent tr` es macroscopiques. Non adapt es ` a certains types dattaques [375]. Aucune. Mal adapt es aux sc enarios complexes. Leur caract` ere composable permet de limiter ce d efaut : les notions de templates et de patterns ont et e formalis ees [372, 373, 465].

72

1.2.4

Les Dynamic Fault Trees comme variantes dynamiques des arbres dattaque

La Figure III.5 repr esente le cas dusage en Dynamic Fault Tree (DFT). La di erence principale avec le mod` ele en arbre dattaque tient dans lutilisation de portes SEQ, dont les ls ne peuvent se r ealiser que dans une s equence bien d etermin ee (graphiquement de gauche ` a droite). La notation ici adopt ee reprend la notation habituelle des DFT tels quutilis es en s uret e de fonctionnement (cf. Section II.3), et non celle de Khand, seul auteur ` a notre connaissance ` a avoir propos e lutilisation de DFT en s ecurit e [320]. Les portes SEQ permettent de prendre en compte la dimension s equentielle, signicative dans les sc enarios dattaques, qui echappe aux arbres dattaque. Le cas d etude ne n ecessite pas lemploi des autres portes dynamiques (e.g. FDEP) qui elargissent les capacit es de mod elisation, h elas au prix de mod` eles moins lisibles. Comme lillustre la porte SEQ employ ee dans la Figure III.5, ces portes dynamiques sp ecient des comportements prenant en compte la position des el ements ls (le ls de droite ne peut se r ealiser quune fois le ls de gauche r ealis e).

SEQ
Serveur conquis

OR
Wardialing Accs au serveur accord

OR
Authentification par mot de passe

SEQ
Vulnrabilit trouve et exploite

Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit

Figure III.5 Mod elisation du cas d etude par Dynamic Fault Tree

Table III.4 Appr eciation des DFT pour la mod elisation graphique dattaque
Crit` ere Facilit e dapprentissage Lisibilit e Note 3 3 Commentaires Int egration de nouvelles portes dans un formalisme proche des arbres dattaque. Le comportement des nouvelles portes nest pas explicite ; la lecture et la compr ehension sont moins intuitives quavec les arbres classiques, mais restent faciles. Les nouvelles portes augmentent les capacit es de mod elisation des arbres dattaque en int egrant des formes de d ependance et de s equence, mais les cycles restent proscrits. Larticle de Khand [320] naborde pas les aspects de quantication de son adaptation. Les DFT utilis es en s uret e de fonctionnement peuvent b en ecier des outils danalyse markovienne, avec certaines limites. De plus, la mod elisation stochastique est alors limit ee ` a des lois exponentielles. La nature hi erarchique du mod` ele facilite le passage a ` l echelle. Les approches de type patterns utilis ees avec les arbres dattaque classiques sont ici aussi pertinentes.

Puissance de mod elisation Capacit e de quantication

3 2

Capacit e de passage ` a l echelle

73

1.2.5

Mod` eles bas es sur les r eseaux de Petri, cas d etude en GSPN

Lors de la pr esentation des r eseaux de Petri en II-2.3.5.1, nous avons soulign e la grande diversit e des formalismes de cette famille. Elle se retrouve dans leur emploi en mati` ere de mod elisation graphique dattaque. Nous avons ici choisi dutiliser les GSPN (Generalized Stochastic Petri Nets ), forme bien connue dans le domaine de la s uret e de fonctionnement et que lon trouve egalement bien repr esent ee dans lemploi des r eseaux de Petri en s ecurit e. Notre choix aurait aussi pu se porter sur les SAN (Stochastic Activity Networks ) ou sur une des variantes des CP-nets (Coloured Petri Nets ), ces formalismes occupant egalement une place signicative dans l etat de lart en s ecurit e. Ceci-dit, les premiers ont et e jug es moins repr esentatifs des r eseaux de Petri, introduisant des portes absentes de la grande majorit e des autres variantes et substituant les transitions par des notions dactivit es. Les seconds ajoutent le concept de couleur qui nest pas n ecessaire ` a la mod elisation du cas d etude. La Figure III.6 repr esente la mod elisation du cas d etude en GSPN, eectu ee avec laide de Marc Bouissou [464]. Les transitions pleines , en noir, correspondent ` a des transitions temporis ees alors que les transitions creuses , en blanc sont des transitions instantan ees. Les arcs en pointill e n sont des arcs inhibiteurs : ils sont n ecessaires si lon souhaite mod eliser le fait quune etape franchie dans le parcours de lattaquant reste r ealis ee quand celui-ci progresse dans lattaque et passe ` a une autre etape (comportement equivalent aux fonctions de structure dun arbre dattaque). La Section 4.5 d eveloppe plus pr ecis ement ces aspects de mod elisation.
Serveur conquis

Accs au serveur accord

Succs du Wardialing

Vulnrabilit trouve et exploite

Wardialing potentiel Authentification par mot de passe russie Vulnrabilit trouve Vulnrabilit exploite

Force brute potentielle

Social engineering potentiel

Vulnrabilit potentielle Exploitation potentielle dune vulnrabilit

Figure III.6 Mod elisation du cas d etude en GSPN

74

La Table III.5 propose une appr eciation de lutilisation des r eseaux de Petri pour la mod elisation graphique dattaque. Leur grande diversit e rend l evaluation encore plus d elicate que pour les autres formalismes. Nous avons essay e de rester le plus g en erique et objectif possible. Table III.5 Appr eciation des r eseaux de Petri pour la mod elisation graphique dattaque
Crit` ere Facilit e dapprentissage Lisibilit e Note 2 Commentaires Les r eseaux de Petri sont moins accessibles que les autres formalismes pr esent es. En outre, le fonctionnement nest pas aussi intuitif quil y parait (e.g. les jetons ne traversent pas les transitions mais sont cr e es et d etruits). D ependante de la variante consid er ee. Dun point de vue g en eral, la grande diversit e des r eseaux de Petri dessert leur lisibilit e : un m eme el ement graphique a di erentes signications selon la variante, voire dans une m eme variante (e.g. SAN). Tout type de situation peut etre repr esent e, y compris synchronisations, boucles, partages, concurrences, conits... De nombreux outils, techniques et algorithmes ecaces sont disponibles. Les r eseaux deviennent rapidement complexes. Leur composition est d elicate ; a ` part pour quelques variantes tr` es sp eciques, il est dicile de r eutiliser des sous-mod` eles.

Puissance de mod elisation Capacit e de quantication Capacit e de passage ` a l echelle

4 4 2

1.3

Synth` ese

Le Tableau III.6 regroupe les notes attribu ees aux cinq familles de formalismes evalu ees, sans reprendre les justications (se r ef erer aux paragraphes d edi es pour cela). Table III.6 Evaluation compar ee de cinq formalismes de mod elisation graphique dattaque
Formalisme Crit` ere Facilit e dapprentissage Lisibilit e Puissance de mod elisation Capacit e de quantication Capacit e de passage ` a l echelle Arbres dattaque 4 4 2 4 3 Mod` eles ` a base de r eseaux bay esiens 2 2 3 3 3 Misuse cases 3 2 1 1 2 DFT 3 3 3 2 3 Mod` eles ` a base de r eseaux de Petri 2 2 4 4 2

La popularit e et le succ` es des arbres dattaque sont coh erents avec cette evaluation compar ee. Ils ont de bonnes capacit es ` a tous les plans sauf en termes de puissance de mod elisation, intrins` equement limit ee par leur caract` ere statique. Lutilisation de DFT am eliore la situation, mais au d etriment des autres crit` eres. Ceci-dit, les DFT nous paraissent orir un formalisme aux capacit es equilibr ees, qui m eritent sans doute plus que la seule publication trouv ee au sujet de leur utilisation en s ecurit e [320]. Les mod` eles ` a base de r eseaux bay esiens ont une bonne capacit e de mod elisation et orent des possibilit es de quantication avanc ees. Leur emploi en s ecurit e est encore r ecent, mais les travaux de Sommestad et al., et lutilisation du formalisme de diagramme dinuence etendu en font d ej` a un outil op erationnel. Les misuse cases sont tr` es macroscopiques et pr esentent peu davantages consid er es sous le seul angle de la mod elisation dattaque. Ils sinscrivent dans une d emarche plus large de sp ecication de syst` emes, non prise en compte ici. Enn, les r eseaux de Petri sont sans doute le formalisme aux capacit es de mod elisation et de quantication les plus avanc ees, mais ils sont moins accessibles et moins lisibles que la plupart des autres formalismes. En conclusion, notre etat de lart sugg` ere quun formalisme qui conserverait les qualit es des arbres dattaque en am eliorant leur puissance de mod elisation trouverait une place dint er et dans le domaine des formalismes de mod elisation graphique dattaque.

75

2
2.1
2.1.1

Mod elisation dattaques par les BDMP

De la s uret e de fonctionnement ` a la s ecurit e
Origine et pr esentation g en erale des BDMP

Les BDMP (Boolean logic Driven Markov Processes ) d esignent un formalisme graphique issu du domaine de la s uret e de fonctionnement. Invent es par Bouissou au d ebut des ann ees 2000, ils ont depuis et e employ es ` a EDF dans des etudes de s uret e de syst` emes el ementaires de centrales nucl eaires, de syst` emes d evacuation des crues de barrages hydrauliques, dans des analyses de disponibilit e de postes electriques [466] ou dalimentation electrique dinstallations diverses (e.g. data centers [467], usines, a eroports). Ils combinent laspect visuel des arbres de d efaillances, h eritant de leur lisibilit e et de leur facilit e dappropriation (cf. Chap. II Section 2.3.5.1), avec la puissance de mod elisation des mod` eles de Markov (cf. Chap. II Section 2.2.4). En premi` ere approche, on peut pr esenter les BDMP comme modiant la s emantique classique des arbres de d efaillances selon deux modalit es principales : ils associent aux feuilles de larbre 3 des processus de Markov qui mod elisent le comportement des composants selon plusieurs modes. Plus explicitement, chaque feuille peut etre consid er ee dans un mode sollicit e , correspondant ` a un etat du syst` eme o` u le composant mod elis e par la feuille contribue au fonctionnement global du syst` eme, ou dans un mode non-sollicit e , qui signie que le composant correspondant nest pas requis (il est par exemple au repos car en redondance ` a froid). Un processus de Markov simple mod elise pour chaque mode le comportement du composant en termes de d efaillance et de r eparation. La Figure III.7 correspond aux processus dune feuille permettant de mod eliser les redondances. La valeur des taux de d efaillance () di` ere selon le mode (celle du taux de r eparation est par contre suppos ee identique) ; la feuille correspond ` a une redondance ` a froid quand 0 = 0. ils introduisent un nouveau type de lien, nomm e g achette, repr esent e par une ` eche rouge en pointill e, qui permet de s electionner le mode des feuilles en fonction de l etat dautres feuilles. En dautres termes, ce lien sp ecie graphiquement de quels autres composants le mode de sollicitation dun composant d epend.
Processus de Markov du mode non-sollicit Processus de Markov du mode sollicit

0
Stand-by Dfaillance En fonction

1
Dfaillance

Figure III.7 Exemples de processus de Markov associ es aux modes des feuilles Pour une feuille donn ee, les processus correspondant ` a chaque mode et les fonctions sp eciant le passage dun mode ` a lautre, d eclench e notamment par les g achettes, forment un processus de Markov pilot e . La Figure III.8 repr esente un BDMP 4 el ementaire, avec ses composants de base : feuilles (f1 ` a f4), portes logiques (G1, G2 et G3), ev enement redout e (r), et une g achette entre les portes G1 et G2. Par lentremise de la g achette, le mode de f3 et f4 d epend de la r ealisation de la porte G1, et donc a fortiori des feuilles f1 et f2. Ce formalisme ore trois avantages essentiels par rapport aux autres mod` eles dynamiques en s uret e de fonctionnement : dune part, il permet la d enition de mod` eles dynamiques complexes tout en restant presque aussi lisible et facile ` a construire quun arbre de d efaillances. En particulier, les BDMP peuvent etre utilis es pour construire simplement et rapidement des mod` eles correspondant ` a de nombreuses situations courantes dans les etudes de s uret e, telles que redondances passives, simples ou en cascade,
3. Nous utiliserons le terme arbre pour les BDMP, en r ef erence aux arbres dattaque et aux arbres de d efaillances, bien quil sagisse formellement dun graphe orient e sans circuit (cf. Section 2.2). 4. Par abus de langage, nous d esignerons aussi par BDMP une instance particuli` ere du mod` ele g en eral.

76

G3

G1

G2

f1

f2

f3

f4

Figure III.8 Exemple dun BDMP simple [238]

d efaillances de cause commune, reports de charge, fonctionnements di erenci es selon les s equences d ev enements, etc. ; dautre part, leurs propri et es math ematiques autorisent le traitement ecace de BDMP equivalents a des processus de Markov avec un espace d ` etats extr emement grand. Un m ecanisme d elagage, dit de ltrage des ev enements pertinents , permet en eet de r eduire consid erablement la combinatoire dans lexploration des chemins menant ` a l ev enement redout e, eectu ee lors du traitement du mod` ele ; enn, en plus des calculs classiques de disponibilit e et de abilit e, ils permettent dobtenir des informations qualitatives dint er et sous la forme de listes des s equences menant ` a l ev enement redout e, caract eris ees quantitativement et ordonn ees selon leur contribution ` a la probabilit e doccurrence de l ev enement redout e dans le temps de mission consid er e pour le syst` eme. Une d enition compl` ete de la formalisation math ematique des BDMP et de leurs propri et es est donn ee dans [238]. Nous la reprenons largement dans la section suivante pour ladapter ` a la mod elisation s ecurit e. 2.1.2 Les BDMP appliqu es ` a la s ecurit e

Tout comme les BDMP ont ` a lorigine assign e une nouvelle s emantique aux arbres de d efaillances, il est possible de tirer b en ece de ce formalisme en s ecurit e, en modiant la s emantique des arbres dattaque. Dans ce cas, les feuilles sont egalement associ ees ` a des processus de Markov pilot es, mais qui repr esentent non plus le comportement de panne des composants dun syst` eme, mais des actions ou des ev enements el ementaires dont la r ealisation peuvent servir ` a un objectif dattaque. Pour cela, les processus de Markov pilot es ont dans un cadre s ecurit e les caract eristiques suivantes : ils ont deux modes, Actif et Inactif, correspondant respectivement au fait que laction ou l ev enement quils mod elisent peut ou ne peut pas encore etre r ealis e, etant donn e la progression de lattaque. Dans le cadre th eorique pr esent e dans la section suivante, nous les d esignerons aussi par mode 1 (Actif) et mode 0 (Inactif) ; a ` tout moment, le choix du mode dun processus de Markov pilot e d epend dune fonction bool eenne de l etat des autres processus du BDMP, sp eci ee notamment par les g achettes. Plus concr` etement, celles-ci vont permettre de mod eliser les s equences dactivation des di erentes feuilles du BDMP, caract erisant la progression dans les sc enarios dattaque possibles captur es par lensemble de larbre. Des exemples ult erieurs illustrent ce principe.

2.2
2.2.1

D enition formelle
Les composants dun BDMP

Notons Pi les processus de Markov pilot es associ es aux feuilles i dun arbre dattaque A. Formellement, un BDMP utilis e pour la s ecurit e est un ensemble {A, r, T, P } compos e de : 77

 un arbre dattaque A = {E, L, g } o` u: E = G B , est un ensemble d el ements avec G, lensemble des portes logiques, et B , lensemble des ev enements de base jouant un r ole dans la progression de lattaque (par exemple, des actions de lattaquant). Les ev enements de base constituent les feuilles du BDMP, L G E , est un ensemble dar etes orient ees, telles que (E, L) soit un graphe orient e sans circuit avec i G, f ils(i) = et j B, f ils(j ) = (on note E 2E , f ils(i) = {j E/(i, j ) L}), g : G N est une fonction d enissant le param` etre k des portes logiques, qui sont toutes consid er ees comme des portes k/n (avec k = 1 pour les portes OU et k = n pour les portes ET, n etant le nombre de ls de la porte 5 ). r, lobjectif nal de lattaquant, equivalent de l ev enement redout e en s uret e de fonctionnement (sommet ou top event ). Formellement, il correspond ` a une des racines de (E, L) ; un ensemble de g achettes T , d eni comme un sous ensemble de (E {r}) (E {r}) tel que (i, j ) T, i = j et (i, j ) T, (k, l) T, i = k j = l. Si i est appel e origine, et j cible, cela signie que lorigine et la cible dune g achette doivent etre di erentes, et que deux g achettes ne peuvent pas avoir la m eme cible. Les g achettes sont repr esent ees par des ` eches rouges en pointill e; un ensemble P de processus de Markov pilot es {Pi }iB . Un Pi se d enit comme un ensemble i i i i Z0 (t), Z1 (t), f01 , f10 o` u:
i i Z0 (t) et Z1 (t) sont deux processus de Markov homog` enes ` a etats discrets mod elisant le comportement de la feuille i selon son mode. Pour k dans {0, 1} repr esentant le mode de la feuille i i i i consid er ee, lespace des etats de Zk (t) est Ai k . Chaque Ak contient un sous-ensemble Sk correspondant aux etats de succ` es ou de r ealisation de l ev enement de base mod elis e par le processus Pi ; i i f0 es . Elles d ecrivent en termes de 1 et f10 sont deux fonctions de transfert de probabilit probabilit es les transferts entre processus de chaque mode au moment du basculement dun mode ` a lautre. La probabilit e darriver dans un etat donn e du processus du mode cible d epend de l etat du processus de la feuille dans le mode de d epart, au moment du basculement. Par exemple, une telle fonction peut sp ecier que pour une feuille en mode Inactif dans un etat de non-r ealisation, un changement de mode lam` enera dans un etat de r ealisation avec une probabilit e et dans un etat de non-r ealisation avec une probabilit e 1 - . Ces fonctions sont d enies formellement comme suit : i i pour tout x Ai es sur Ai 0 , f01 (x) est une distribution de probabilit 1 telle que si x S0 , i alors j S i (f0 ( x ))( j ) = 1, 1
1

f ils

i i es sur Ai pour tout x Ai 1 , f10 (x) est une distribution de probabilit 0 telle que si x S1 , i alors j S i (f10 (x))(j ) = 1. 0 (Ces conditions signient simplement quune feuille r ealis ee juste avant un changement de mode ne peut devenir non-r ealis ee ` a cause du changement de mode.)

G achettes et processus de Markov pilot es Pi sont intimement li es : les Pi basculent automatiquement dun mode ` a lautre, via les fonctions de transfert de probabilit es appropri ees, selon l etat de variables bool eennes externes au processus, appel ees s electeurs de mode (cf. Section 2.2.2). La valeur des s electeurs de mode est d enie par lentremise des g achettes. Une g achette modie le mode des Pi associ es aux feuilles du sous-arbre vers lequel elle pointe. Dans le cas simple o` u une seule g achette est pr esente dans le mod` ele, quand la feuille ou la porte ` a lorigine dune g achette passe de FAUX ` a VRAI, le mode des feuilles du sous-arbre point e par la g achette change dInactif ` a Actif. Dans le BDMP de la Figure III.8, la r ealisation de f1 ou f2 fait passer les feuilles f3 et f4 du mode Inactif au mode Actif par lentremise de la g achette. Les processus de Markov associ es evoluent en cons equence, et les feuilles changent d etat selon les modalit es d enies par les fonctions de transfert. Quand plusieurs g achettes sont pr esentes, leurs actions se combinent de la mani` ere d ecrite formellement dans la section suivante. Ces m ecanismes mod elisent le progr` es de lattaquant dans les sc enarios captur es par le BDMP global. Les sections suivantes formalisent plus rigoureusement et illustrent cette premi` ere description.
5. Comme rappel e en II-2.2.3, une porte k/n est v eri ee si et seulement si au moins k de ses ls sont v eri es.

78

2.2.2

Les trois familles de fonctions bool eennes du temps

Un BDMP d enit un processus stochastique global, mod elisant la progression de lattaque et le comportement dynamique de lattaquant. Pour cela, chaque el ement i de A est associ e` a trois fonctions bool eennes : une fonction de structure Si (t), un s electeur de mode Xi (t) et un indicateur de pertinence Yi (t). Au niveau du BDMP, les trois familles de fonctions sont d enies ci-dessous. Pour simplier les notations, le temps t nest pas indiqu e mais devrait appara tre partout : (Si )iE est la famille des fonctions de structure. Elles ob eissent ` a la relation suivante : i G, Si (
j f ils(i) j j Sj g (i)) et j B, Sj (ZX SX ) j j

avec Xj indiquant le mode de Pj au temps t. Sj = 1 correspond ` a la r ealisation dun ev enement de base (comme la r eussite dune action de lattaquant) ; (Xi )iE correspond aux s electeurs de mode, indiquant quel mode est choisi pour chaque processus. Si i est un sommet de A, alors Xi = 1, sinon : Xi [(x E, (x, i) L Xx = 0) (x E/(x, i) T Sx = 0)] . Cela signie que Xi = 1 sauf si lorigine dune g achette pointant sur i a sa fonction de structure egale ` a 0, ou si i a au moins un p` ere, et que tous ses p` eres sont inactifs (i.e. ont un s electeur de mode ` a 0) ; (Yi )iE correspond ` a la famille des indicateurs de pertinence. Ils servent ` a marquer les processus qui peuvent etre elagu es pendant le traitement du processus de Markov global sous-jacent lors de lexploration des s equences. Le ltrage des ev enements pertinents r eduit consid erablement les risques dexplosion combinatoire, sans introduire dapproximation dans les cas de quantication qui nous int eressent (nous d eveloppons ces aspects dans la section suivante). Si i = r (objectif nal), alors Yi = 1 (l ev enement est pertinent), sinon : Yi (x E/(x, i) L Yx = 1 Sx = 0) (y E/(i, y ) T Sy = 0) . En dautres termes, Yi = 1 si et seulement si : i = r, ou i a au moins un p` ere pertinent j qui nest pas encore v eri e (Sj = 0), ou i correspond ` a lorigine dau moins une g achette pointant un el ement j non v eri e (Sj = 0). Le Tableau III.7, repris de [238], indique les expressions des fonctions bool eennes Si , Xi , Yi dans le cas du BDMP pr ec edemment employ e pour introduire le formalisme et repr esent e sur la Figure III.8. Table III.7 Expression des fonctions bool eennes Si , Xi , Yi pour le cas de la Fig. III.8
Fonctions de structure Si Sr = SG3 = Sf 1 SG2 SG2 = Sf 3 Sf 4 SG1 = Sf 1 Sf 2 = 1 Pf 1 dans un etat de succ` es/r ealisation = 1 Pf 2 dans un etat de succ` es/r ealisation = 1 Pf 3 dans un etat de succ` es/r ealisation = 1 Pf 4 dans un etat de succ` es/r ealisation S electeurs de mode Xi Xr = XG3 = 1 XG2 = SG1 XG1 = 1 Xf 1 = XG1 Xr = 1 Xf 2 = XG1 = 1 Xf 3 = XG2 = SG1 Xf 4 = XG2 = SG1 Indicateurs de pertinence Yi Yr = YG3 = 1 YG2 = Sr YG1 = 1 Yf 1 = SG1 YG1 Yf 2 = SG1 YG1 Yf 3 = YG2 SG2 Yf 4 = YG2 SG2

Sf 1 Sf 2 Sf 3 Sf 4

Nous donnons un premier aper cu du fonctionnement des trois familles de fonctions bool eennes en nous appuyant sur ce m eme mod` ele dans la Figure III.9. Les valeurs des Si , Xi , et Yi sont indiqu ees pour chaque el ement par un triplet evoluant au gr e du d eroulement dun sc enario simple. La Figure III.9a) correspond ` a l etat du BDMP une fois initialis e alors quaucune feuille na encore et e r ealis ee. Seuls r, G3, G2, f1 et f2 sont en mode Actif, et tous les ev enements sont pertinents. La Figure III.9b) illustre la 79

situation au bout dun temps t, au moment o` u la feuille f1 se r ealise. La porte G1 est alors egalement r ealis ee : Sf 1 et SG1 prennent donc la valeur 1 ; lorigine de la g achette etant v eri ee, elle active la porte G2 et les feuilles f3 et f4 dont les s electeurs de mode XG2 , Xf 3 et Xf 4 deviennent alors egaux ` a 1. La feuille f2 nest alors plus pertinente, son indicateur de pertinence Yf 2 passe ` a 0 (nous revenons dans la section suivante sur lint er et de ces indicateurs). La feuille f3, dans son mode Actif, se r ealise quelque temps apr` es comme repr esent e dans la Figure III.9c) : G2, G3 se v erient, l ev enement redout e r aussi.

r G3

(0,1,1) (0,1,1)

(a)

r G3

(0,1,1) (0,1,1)

(b)

G1

(0,1,1)

G2

(0,0,1)

G1

(1,1,1)

G2

(0,1,1)

f1
(0,1,1)

f2
(0,1,1)

f3
(0,0,1)

f4
(0,0,1)

f1
(1,1,1)

f2
(0,1,0)

f3
(0,1,1)

f4
(0,1,1)

r G3

(1,1,1) (1,1,1)

(c)

G1

(1,1,1)

G2

(1,1,1)

f1
(1,1,1)

f2
(0,1,0)

f3
(1,1,1)

f4
(0,1,0)

Figure III.9 Valeurs des fonctions bool eennes Si , Xi , Yi pour un sc enario du cas dillustration

2.2.3

Propri et es math ematiques

Les BDMP constituent un formalisme math ematique robuste dans le sens des deux th eor` emes suivants : Th eor` eme 1. Les fonctions (Si ), (Xi ), (Yi ) sont d enies pour tout i E quelle que soit la structure du BDMP. Th eor` eme 2. Toute structure de BDMP associ ee a ` un etat initial, d eni par les modes et les etats des Pi , sp ecie de mani` ere unique un processus de Markov homog` ene valide. La preuve de ces th eor` emes peut etre trouv ee dans [238]. En plus de leur robustesse, les BDMP permettent une r eduction combinatoire remarquable par le m ecanisme de ltrage des ev enements pertinents, qui correspond ` a l elagage de certains processus du graphe de Markov sur la base de leur Yi . Ce m ecanisme peut etre illustr e de la fa con suivante : dans la Figure III.10, apr` es la r ealisation dun ev enement de base Pi , les autres ev enements de base Pj =i ne 80

sont plus pertinents : rien ne change par rapport ` a la r ealisation de r si nous les inhibons. Le nombre des s equences menant ` a lobjectif est n si les ev enements pertinents sont ltr es ({P 1, Q}, {P 2, Q}, etc.), il est exponentiel sinon ({P 1, Q}, {P 1, P 2, Q}, {P 1, P 3, Q}, etc.).
r

P1

P2

...

Pn

Figure III.10 Cas pour lequel le ltrage des ev enements pertinents est particuli` erement ecace

Th eor` eme 3. Si les Pi sont tels que i B, t, t t, Si (t) = 1 Si (t ) = 1 (ce qui est toujours v eri e dans notre cas), alors P r(Sr (t) = 1) reste inchang ee que lon ltre les ev enements pertinents ou pas (autrement dit, que lon elimine les ev enements avec Yi = 0 ou pas). La preuve de ce th eor` eme est donn ee dans [238]. Il implique quun ltrage sur la base des Yi ne change pas les valeurs quantitatives dint er et pour lanalyste (cf. Section 2.4.1). En fait, le ltrage des ev enements pertinents correspond au comportement m eme de lattaquant : en eet, si lon se reporte ` a la Figure III.10 avec les Pi repr esentant des techniques di erentes pour atteindre lobjectif interm ediaire repr esent e par la porte OU, alors une fois un des Pi r ealis e, lattaquant ne poursuivra pas ses eorts sur les Pj =i , et se concentrera sur la r ealisation de Q. Les Pj =i sont donc bien ` a elaguer pour ne consid erer que les s equences dattaque rationnelles . 2.2.4 Les feuilles de base et leurs processus de Markov pilot es

La d enition de trois types de feuilles est susante pour couvrir un large spectre de mod elisation dattaques. Leurs repr esentations graphiques et la d enition de leurs processus de Markov pilot es sont donn ees dans la Table III.8. Leurs descriptions g en eriques sont donn ees ci-dessous. Les deux premi` eres sont adapt ees des feuilles utilis ees en s uret e de fonctionnement, simpli ees car sans transition de retour type r eparation ; la troisi` eme a et e cr e ee pour les besoins propres ` a cette adaptation. Les feuilles de type Attacker Action (AA) (action de lattaquant 6 ) mod elisent les pas de lattaquant vers laccomplissement de son objectif. Le mode Inactif correspond ` a des actions qui nont pas encore et e tent ees par lattaquant. Le mode Actif correspond ` a des tentatives de r ealisation en cours (ou une action d ej` a intent ee), dont le temps n ecessaire au succ` es suit une loi de probabilit e exponentielle, de param` etre di erenci e selon les feuilles. Quand la valeur de Xi passe de 0 (Inactif) a 1 (Actif), l ` etat de la feuille i passe de Potentiel (P) ` a En-cours (E) ; quand Xi revient de 1 ` a 0, si lattaquant na pas r eussi, la feuille i revient syst ematiquement dans l etat Potentiel (P), si lattaquant a r eussi, la feuille i revient syst ematiquement dans l etat Succ` es (S). Formellement, les fonctions de transfert de probabilit es peuvent s ecrire comme suit :

f01 (P ) = {Pr(E ) = 1, Pr(S ) = 0} , f01 (S ) = {Pr(E ) = 0, Pr(S ) = 1} , f10 (E ) = {Pr(P ) = 1, Pr(S ) = 0} , f10 (S ) = {Pr(P ) = 0, Pr(S ) = 1} .
6. Comme pour les deux autres types de feuille, nous garderons les d enominations en anglais, car elles correspondent, avec leurs sigles associ es, a ` celles utilis ees dans la mise en uvre logicielle pr esent ee en Section 5, et employ ees dans les mod` eles de ce m emoire.

81

 Les feuilles de type Instantaneous Security Event (ISE) ( ev enement de s ecurit e instantan e) mod elisent des ev enements dont la r ealisation est instantan ee, et sop` ere avec une probabilit e au moment o` u la feuille bascule du mode Inactif au mode Actif. Dans le mode Inactif, l ev enement ne peut pas se r ealiser et la feuille reste dans l etat Potentiel (P). Quand la feuille passe en mode Actif, l ev enement est alors soit R ealis e (R), soit Non-R ealis e (NR), selon le tirage de la probabilit e . Formellement, les fonctions de transfert de probabilit es peuvent s ecrire comme suit :

f01 (P ) = {Pr(N R) = 1 , Pr(R) = } , f01 (R) = {Pr(N R) = 0, Pr(R) = 1} , f10 (R) = {Pr(N R) = 0, Pr(R) = 1} , f10 (N R) = {Pr(P ) = 1, Pr(R) = 0} . Les feuilles de type Timed Security Event (TSE) ( ev enement de s ecurit e temporis e) mod elisent des ev enements de base temporis es, dont la r ealisation contribue au progr` es de lattaquant vers son objectif, mais qui ne sont pas sous son contr ole direct. Les temps n ecessaires ` a la r ealisation de ces feuilles une fois activ ees suivent des lois de probabilit e exponentielles de param` etres , di erenciables par feuille. Quand la feuille revient en mode Inactif, l ev enement peut etre soit R ealis e (R), soit Non-R ealis e (NR), selon quil est d ej` a r ealis e en mode Actif ou pas. Sil ne sest pas r ealis e, lanalyste peut d ecider de rendre possible sa r ealisation en mode Inactif en attribuant une valeur non nulle ` a . Ceci peut sav erer utile dans les approches par phase d ecrites en Section 2.3.2. Formellement, les fonctions de transfert de probabilit es peuvent s ecrire comme suit :

f01 (P ) = {Pr(N R) = 1, Pr(R) = 0} , f01 (N R) = {Pr(N R) = 1, Pr(R) = 0} , f01 (R) = {Pr(N R) = 0, Pr(R) = 1} , f10 (N R) = {Pr(N R) = 1, Pr(R) = 0} , f10 (R) = {Pr(N R) = 0, Pr(R) = 1} .

2.3
2.3.1

Mod elisations el ementaires

Mod elisation de s equences

Comme d ej` a soulign e en Section 1, la capacit e ` a mod eliser des s equences joue un r ole important dans la mod elisation de sc enarios dattaque : dans la majorit e des cas, un certain nombre dactions ou d ev enements doivent en eet avoir lieu avant que dautres etapes puissent etre franchies par lattaquant. Les g achettes permettent une mod elisation facile et lisible de tels aspects. La Figure III.11 repr esente de fa con simpli ee lattaque dun syst` eme dexploitation en trois actions, li ees par une telle contrainte de s equence : lattaquant proc` ede dabord ` a la caract erisation du syst` eme cibl e (ngerprinting ), il peut ensuite identier une vuln erabilit e typique de ce logiciel, avant de passer ` a son exploitation. Des exemples plus elabor es peuvent etre trouv es en Sections 2.6.1 et 2.6.2. 2.3.2 Mod elisation dalternatives concurrentes ou exclusives

Pour un objectif interm ediaire donn e, un attaquant peut avoir di erentes alternatives. La mod elisation naturelle de cette situation avec les BDMP et les arbres dattaque classiques consiste ` a utiliser une porte OU. Ceci-dit, plusieurs cas de gure peuvent etre distingu es. La Figure III.12 repr esente deux approches distinctes pour mod eliser une telle situation, ` a laide dun exemple mod elisant une caract erisation de syst` eme dexploitation (OS ngerprinting ). Dans la Figure III.12a), o` u seule une porte OU est utilis ee, techniques passives et techniques actives sont essay ees simultan ement, ce qui peut ne pas correspondre a un comportement r ` ealiste de lattaquant. Les techniques passives etant plus discr` etes, elles devraient en principe etre tent ees en premier, et abandonn ees si infructueuses au bout dun certain temps pour des techniques actives, plus ecaces, mais moins discr` etes [468]. Les g achettes ne peuvent mod eliser un 82

Table III.8 Description des trois types de feuilles et de leurs processus de Markov pilot es

Types de feuilles et reprsentations

Mode Inactif (Xi=0)

Transfert entre les modes

Mode Actif (Xi=1)

Potentiel

Succs

P E (avec Pr = 1) S S (avec Pr = 1)

En-cours

Succs Si1

Attacker Action (AA)

ISE! Potentiel Ralis

Instantaneous Security Event (ISE)

P NR (avec Pr = 1-) P R (avec Pr = ) R R (avec Pr = 1) P NR (avec Pr = 1)

Non Ralis

Ralis Si1

TSE

Potentiel

Timed Security Event (TSE)

Non Ralis

'
Si1

P NR (avec Pr =1) NR NR (avec Pr =1) R R (avec Pr =1)

Ralis

Non Ralis

Ralis Si1

Attaque russie

AND
Accs administrateur

OR
Caractrisation du systme dexploitation Identification dune vulnrabilit Exploitation de la vulnrabilit

Techniques passives

Techniques actives

Figure III.11 S equences pour lattaque dun syst` eme dexploitation

83

tel comportement. Des feuilles phases , repr esent ees par des horloges, sont alors introduites dans la Figure III.12b). Elles permettent de mod eliser le comportement souhait e en activant et d esactivant des feuilles ou des sous-arbres entiers apr` es une dur ee suivant une loi exponentielle. Leur d enition est donn ee dans [469] : si aucune g achette ne pointe vers une feuille de phase, celle-ci est initialis ee ` a VRAI et devient fausse au bout dun temps distribu e exponentiellement. Si a contrario, elle est point ee par une g achette, elle est initialis ee ` a FAUX, et quand lorigine de la g achette passe de VRAI ` a FAUX, la feuille passe instantan ement ` a VRAI. Elle revient ` a FAUX apr` es un temps distribu e exponentiellement. Un tel comportement permet de lier un nombre arbitraire de feuilles de phase, eventuellement en circuit, et reste coh erent avec le cadre th eorique des BDMP. Dans la Figure III.12b), deux feuilles de phase susent a mod ` eliser le comportement voulu : seules les techniques passives sont essay ees initialement, elles sont abandonn ees si elles naboutissent pas au bout dun temps distribu e exponentiellement au prot des techniques actives.
a) b)

OR
Caractrisation du systme dexploitation

OR
Caractrisation du systme dexploitation

AND
Succs technique passive

AND
Succs technique active

Techniques passives

Techniques actives Phase pour les techniques passives Techniques passives Phase pour les techniques actives Techniques actives

Figure III.12 Mod elisation dalternatives concurrentes ou exclusives

2.4
2.4.1

Quantications
Quantications temporelles

Lint er et des BDMP ne r eside pas seulement dans la simple capacit e de repr esentation des s equences. Ils permettent aussi diverses quantications dordre temporel, dont notamment le calcul de la probabilit e pour un attaquant datteindre son objectif dans un temps donn e ou encore du temps moyen global pour la r ealisation de lattaque. En plus de ces quantications g en erales, le traitement des BDMP donne egalement l enum eration de tous les chemins (ou s equences) dattaque menant ` a lobjectif nal, ordonn es par leur probabilit e doccurrence dans le temps dobservation choisi (dit temps de mission). Ces r esultats peuvent etre ecacement obtenus gr ace ` a une m ethode de calcul d evelopp ee pour les grands mod` eles markoviens, et donc applicable au traitement des BDMP [470]. 2.4.2 Calculs par exploration de chemins

Comme indiqu e dans la Section 2.2.3, les BDMP sont une repr esentation de haut niveau de processus de Markov ` a espace d etats potentiellement gigantesque. Ce type de mod` ele pose habituellement des probl` emes dexplosion combinatoire, limitant lecacit e des solutions analytiques classiques [176]. Confront e` a de telles situations dans ses etudes de s uret e de fonctionnement, EDF a d evelopp e une approche originale bas ee sur lexploration des chemins menant ` a la panne. Une telle approche permet de calculer la probabilit e de l ev enement redout e, mais donne aussi nombre dinformations inaccessibles par les m ethodes classiques comme la liste des s equences y menant, ordonn ees par probabilit e doccurrence dans le temps de mission, ou limportance relative de ces s equences. Elle fournit des r esultats exacts pour les petits mod` eles en proc edant ` a une exploration du graphe de fa con exhaustive ; elle ore des approximations ma tris ees pour les grands mod` eles en limitant le nombre de s equences explor ees ` a celles ayant une probabilit e d epassant un certain seuil. La probabilit e de l ev enement redout e a linstant t correspond ` ` a la somme des probabilit es de r ealisation des s equences explor ees y menant 84

avant linstant t, les s equences etant mutuellement exclusives. Par exemple, dans le graphe de Markov de la Figure III.13, si l etat initial est num erot e 1, si ceux correspondant ` a l ev enement redout e sont num erot es 4 et 7, et si lexploration est exhaustive, les s equences menant de l etat initial ` a l ev enement redout e sont (1,2,3,4), (1,2,3,7), (1,5,3,4), (1,5,3,7) et (1,5,6,7).
Etats correspondant la progression de lattaquant Etats correspondant latteinte de lobjectif

2 1

Figure III.13 Exemple de graphe de Markov pour lidentication des s equences Le principe du calcul de la probabilit e dune s equence d ecrit dans [471] est redonn e ici sommairement. Si lon nomme S lensemble des n s equences consid er ees menant ` a l ev enement redout e r, et Ps (t) la probabilit e quune s equence s S se produise avant un instant t, alors par d enition des probabilit es conditionnelles : Ps (t) = P r(s parcourue jusquau bout) P r(r ealisation de r avant t / s parcourue jusquau bout). Avec t , on trouve que Ps () = P r(s parcourue jusquau bout), on peut donc ecrire : Ps (t) = Ps () P r(r ealisation de r avant t / s parcourue jusquau bout). Le premier terme peut etre calcul e facilement : il correspond au produit des probabilit es daller, ` a chaque etat de la s equence, vers l etat suivant de la s equence plut ot que vers un autre etat du graphe. Quand les taux de transition sont constants, ces probabilit es sont obtenues par des formules analytiques simples (cf. [471]). Le second terme est plus probl ematique. On num erote de 1 ` a n les etats dune s equence s menant ` a l ev enement redout e r, n+1 e etat de la s equence consid er ee. La Figure III.14 repr esente lextrait pertinent du graphe de Markov correspondant, o` u i,j est le taux de transition de l etat i vers l etat j .
vnement redout (r)

1,2

2,3

...

n,n+1

n+1

Figure III.14 Une s equence s extraite dun graphe de Markov plus complet La dur ee n ecessaire ` a la r ealisation de r sachant que la s equence s a et e parcourue jusquau bout est egale ` a la somme des temps de s ejour Ti dans les etats 1 ` a n. Dapr` es une propri et e des processus markoviens, les dur ees de s ejour dans les etats sont ind ependants des transitions emprunt ees pour sortir des etats. Avec les notations de la Figure III.14, chaque dur ee Ti suit une loi exponentielle de param` etre i = i=k i,k . n Au nal, on a donc Ps (t) = Ps () P r(( i=1 Ti ) < t), le premier terme etant facile ` a calculer, le second etant la fonction de r epartition dune somme de variables de lois exponentielles ind ependantes. La r ef. [471] d eveloppe la solution applicable aux cas o` u les temps moyens pass es dans chaque etat sont tous 85

di erents (la formule classique du produit de convolution de lois exponentielles peut alors sappliquer) ; il a fallu attendre les travaux de Harrison en 1990 [472] pour pouvoir g en eraliser la solution aux cas o` u certaines des dur ees sont identiques [473] (en se basant sur les transform ees de Laplace). Bien au-del` a de cette description tr` es g en erale, la th` ese de Lefebvre [474] donne une description d etaill ee des di erents cas de gure rencontr es, et d ecrit de nombreuses optimisations et heuristiques pour ce genre de calcul. Soulignons pour nir que lapproche par exploration de chemins b en ecie pleinement du m ecanisme de ltrage des ev enements pertinents des BDMP d ecrit en Section 2.2.3, qui r eduit consid erablement la combinatoire et le nombre des chemins ` a explorer. 2.4.3 Param etrage des feuilles

Plus concr` etement, les quantications n ecessitent le param etrage des di erentes feuilles composant le BDMP. Lanalyste doit ainsi attribuer des valeurs aux param` etres des lois exponentielles caract erisant les feuilles AA et TSE, ainsi quaux param` etres des feuilles ISE : la d enition des taux de succ` es ou de r ealisation se fait en raisonnant en termes de temps moyen de succ` es, ou MTTS pour Mean Time To Success, pour les feuilles AA, et en temps moyen de r ealisation, ou MTTR pour Mean Time To Realization, pour les feuilles TSE, en analogie au MTTF utilis e en s uret e de fonctionnement. Dans le cas dune loi exponentielle de param` etre , un tel temps moyen correspond ` a la valeur 1/. Une approche similaire a et e adopt ee dans de nombreux autres travaux de mod elisation de s ecurit e (e.g. [177, 475, 476]). La Section 6.1.1 revient sur les hypoth` eses et les limites dun tel choix ; la d enition des probabilit es de r ealisation ` a lactivation se fait par rapport ` a des retours dexp erience de situations similaires, ` a d efaut davoir des statistiques pertinentes, ou par avis dexpert plus informels. Dune fa con g en erale, lattribution de ces valeurs correspond ` a une vision subjectiviste des probabilit es (cf. Chap. II Section 1.2.4) ; elles doivent etre estim ees en tenant compte, en outre, de la dicult e intrins` eque des actions mod elis ees, des conditions favorisant ou eloignant loccurrence dun ev enement donn e, des ressources et comp etences estim ees de lattaquant et du niveau de protection des syst` emes attaqu es. Dans ces conditions, les valeurs choisies ne correspondent qu` a une formalisation num erique des avis et croyances des analystes s ecurit e, n ecessairement subjectifs, et seulement traduits ici sous un aspect plus formel que dans les analyses de risques classiques telles que d ecrites en II-2.3.3. Malgr e la dicult e de la t ache, lestimation de probabilit es (au sens large) reste une etape incontournable ` a toute d emarche danalyse de risques ; la forme ici num erique ne doit pas faire oublier les limites dun tel exercice, evoqu ees en II-1.2.3. 2.4.4 Quantications non-temporelles

En plus des quantications temporelles, les BDMP permettent egalement des quantications ind ependantes du temps, ` a linstar de celles eectu ees avec les arbres dattaque classiques. Le principe g en eral consiste ` a attribuer di erentes valeurs statiques aux feuilles de larbre, et soit de les propager jusquau sommet en respectant des r` egles variant selon la nature des valeurs attribu ees et des portes rencontr ees pour obtenir des valeurs globales au mod` ele [284], soit les consid erer sur des chemins sp eciques dans larbre, pour caract eriser et comparer des sc enarios particuliers [477]. Un premier type de valeurs attribu ees aux arbres dattaque classiques correspond ` a des probabilit es de r eussite, ici ind ependantes du temps : une fois les coupes minimales identi ees par les techniques classiquement employ ees avec les arbres de d efaillances [188], elles permettent une hi erarchisation de sc enarios, en supposant les ev enements de base de larbre dattaque ind ependants. Nous ne consid erons pas ce type de traitement, ces aspects etant d ej` a couverts dans les BDMP par le param etrage des processus stochastiques associ es aux feuilles. Ceci-dit, de nombreux autres param` etres ont et e propos es dans la litt erature attenante aux arbres dattaque. Les notions de co uts et dindicateurs bool eens sont certainement parmi les plus employ ees (et ce, d` es le papier de Schneier [22]). Dans le premier cas, lapproche consiste ` a associer un co ut, en g en eral mon etaire, pour lattaquant ` a la r ealisation de chaque feuille, permettant de calculer et de comparer le co ut global de sc enarios dattaque donn es, ou de calculer un co ut moyen associ e a la r ` ealisation de lobjectif, tous sc enarios pris en compte. Dans le second cas, lid ee est de marquer 86

chaque feuille dun indicateur bool een mod elisant une propri et e ou une exigence sp ecique n ecessaire ` a sa r ealisation. Une telle exigence peut par exemple correspondre au besoin dun appui interne ` a lorganisation attaqu ee, ` a la n ecessit e de poss eder un equipement ou un outil particulier, ou encore, la n ecessit e davoir connaissance dune information particuli` ere. Une fois les sc enarios dint er et retenus sur dautres crit` eres (e.g. par calcul de coupes minimales dans le cas darbres dattaque classiques, par exploration et classication des s equences pour un BDMP), il est alors possible de savoir sils requi` erent la propri et e ou lexigence sp ecique, et faire le cas ech eant, de nouvelles s elections. Enn, un troisi` eme type de param` etre peut etre mentionn e : il sagit du niveau de comp etence requis pour la r ealisation dune action [22, 284]. G en eralement d eni selon une gradation simple (e.g. simple / interm ediaire / dicile / expert), ce param etrage permet de xer un seuil de comp etence n ecessaire ` a la r ealisation de chaque feuille. Les s equences sont alors caract eris ees par le niveau de comp etences maximum des actions qui la composent, et peuvent etre ltr ees sur ce crit` ere, selon le prol estim e de lattaquant. Notons que si une telle estimation contribue aussi ` a la d etermination des taux de succ` es pour un BDMP, ces approches peuvent etre combin ees, le param etrage des taux permettant de faire des quantications temporelles probabilistes, la d enition de seuils permettant d eliminer de fa con d eterministe un certain nombre de sc enarios. En fait, plus globalement, les di erents types de param` etres jusquici expos es (co uts, indicateurs bool eens, seuils de comp etence) peuvent eventuellement etre utilis es conjointement. De plus, il est possible de g en eraliser les exemples donn es en trois cat egories de param` etres statiques, qui correspondent, dans lordre des exemples donn es, aux indicateurs de type entier, de type bool een et de type gradu e. En eet, au-del` a des param` etres pr ec edemment expos es, de nombreuses autres instances peuvent etre imagin ees dans les trois cat egories identi ees, du moment que leur comportement math ematique est clairement sp eci e pour les quantications (e.g. par lutilisation dop erateurs de somme, de min, de max, de moyenne arithm etique, etc.). Edge propose ainsi lutilisation dindicateurs de co ut pour lattaquant, mais aussi de g ene pour les utilisateurs, dimpact nancier pour lorganisation et plus largement de param` etres permettant de faire des calculs de risque ` a partir du mod` ele [284]. Dans la m eme philosophie, Patel et al. associent aux feuilles de leurs arbres dans [301] un threat impact index (indice dincidence de la ` chaque fois, les param` menace) et un cyber-vulnerability index (indice de cyber-vuln erabilit e). A etres statiques permettent ` a lanalyste de d enir pr ecis ement des crit` eres et seuils pour mieux caract eriser et s electionner les sc enarios dattaque les plus pertinents vis-` a-vis du contexte de lanalyse. Par exemple, on peut ainsi choisir de ne consid erer que les sc enarios ne d epassant pas un co ut donn e de mise en uvre, en rapport avec le prol dattaquant, ou dexclure ceux n ecessitant une collaboration interne. Lapproche dexploration de chemins adopt ee pour la quantication des BDMP rend la prise en compte des param` etres statiques simple et directe. Les crit` eres de s election de sc enarios peuvent en eet etre appliqu es a posteriori des traitements purement probabilistes. Notons quils pourraient aussi etre embarqu es dans les algorithmes dexploration de chemins, acc el erant les calculs par arr et dexploration des s equences ne respectant pas les crit` eres. Nous navons pas eu loccasion de mettre en uvre ces optimisations et les retenons comme perspectives de d eveloppement. Dans le cas o` u plusieurs param` etres statiques interviennent, la hi erarchisation des s equences peut se faire de multiples mani` eres, allant de la simple pond eration de facteurs ` a des approches doptimisation multi-facteurs plus elabor ees (e.g. lapproche de Dewri et al. dans [478]). Note : Les quantications du domaine temporel constituant une sp ecicit e et un avantage cons equent des BDMP sur les arbres dattaque, nous nous concentrerons sur celles-ci et nillustrerons pas dans les pages suivantes lutilisation de param` etres statiques tels que d ecrits dans cette section, bien quils aient et e mis en uvre dans le logiciel support des mod elisations de ce chapitre (Cf. Section 5).

2.5

Analyse hi erarchique et passage ` a l echelle

De fa con semblable aux arbres de d efaillances et aux arbres dattaque, les BDMP orent de par leur nature hi erarchique une grande exibilit e quant ` a la granularit e danalyse et ` a la profondeur de d ecomposition des attaques. Par exemple, chacune des trois feuilles de la Figure III.11 d ecrivant lattaque dun syst` eme dexploitation aurait pu etre d etaill ee dans des sous-arbres pr ecisant les modalit es et alternatives associ ees ` a chacune de ces etapes. En fait, il est possible de d ecomposer tr` es nement les attaques, tout en conservant une certaine lisibilit e gr ace au caract` ere hi erarchique des BDMP. Des mod` eles de plus de cent feuilles sont ainsi couramment trait es pour les etudes de s uret e de fonctionnement [243].

87

2.6
2.6.1

Exemples
Cas no 1 : attaque dun serveur dacc` es distant connect e par modem

Ce premier cas d etude repr esent e dans la Figure III.15, reprend la situation consid er ee en Section 1.1.2. pour comparer di erents formalismes de mod elisation graphique dattaque. Le BDMP associ e mod elise une attaque tr` es simpli ee dun serveur dacc` es distant accessible par modem. Son but est ` cette n, le niveau de avant tout dillustrer de fa con progressive les m ecanismes pr ec edemment d ecrits. A d ecomposition des attaques a et e gard e au plus simple, et seules des feuilles de type AA ont et e utilis ees.
Serveur conquis

AND
Logu sur le serveur

OR
Wardialing Accs au serveur accord

OR
Authentification par mot de passe

AND
Vulnrabilit trouve et exploite

Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit

Figure III.15 BDMP de lattaque dun serveur dacc` es distant Globalement, les deux g achettes permettent de prendre en compte la dimension s equentielle de lattaque. Tout dabord, avant de tenter une quelconque technique oensive sur le syst` eme, une communication doit etre etablie. La premi` ere g achette permet dimposer la r ealisation de la feuille Wardialing, correspondant ` a la recherche du num ero de la ligne sur laquelle est connect e le modem, comme pr ealable a lactivation des autres feuilles. Lattaquant pourra alors ensuite tenter de casser la protection par mot ` de passe, ou exploiter une vuln erabilit e logicielle dans le syst` eme (modem, serveur ou protocole). Dans le premier cas, deux techniques sont mod elis ees, lattaque par force brute (recherche exhaustive) et le social engineering , repr esent ees par les feuilles eponymes ; comme d ej` a signal e, elles pourraient facilement faire lobjet dune d ecomposition plus ne, au m eme titre que les autres feuilles du BDMP. Dans le second cas, une g achette permet dindiquer quavant d etre exploit ee, une vuln erabilit e doit etre identi ee par lattaquant. La Figure III.16 illustre lactivation progressive des el ements du BDMP, au gr e de la r ealisation des feuilles, selon un sc enario dattaque particulier parmi ceux mod elis es par le BDMP. Lactivation suit les m ecanismes d ecrits en Section 2.2, et sappuie sur les changements de valeur des bool eens (Si ) (fonctions de structure) et (Xi ) (s electeurs de mode) au gr e de la progression de lattaque. Les composants en noir correspondent ` a des composants en mode actif (Xi = 1), ceux en gris clair sont en mode inactif (Xi = 0). Les el ements dont les contours sont doubl es et les noms en gras sont dans un etat de r ealisation (Si = 1). La couleur des liens, qui nont pas de variables bool eennes attribu ees, evolue seulement pour des raisons de lisibilit e.

88

Serveur conquis Serveur conquis

Serveur conquis

Serveur conquis

AND AND
Logu sur le serveur Logu sur le serveur Logu sur le serveur

AND

AND

Logu sur le serveur

OR OR
Wardialing Accs au serveur accord Wardialing Wardialing Accs au serveur accord

OR

OR
Accs au serveur accord

Wardialing

Accs au serveur accord

OR OR
Authentification par mot de passe Vulnrabilit trouve et exploite

AND OR AND
Authentification par mot de passe Vulnrabilit trouve et exploite

AND OR

AND
Vulnrabilit trouve et exploite

Authentification par mot de passe

Vulnrabilit trouve et exploite

Authentification par mot de passe

Force brute Force brute Social engineering Identification dune vulnrabilit Exploitation dune vulnrabilit Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit Social engineering Identification dune vulnrabilit

Exploitation dune vulnrabilit

Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit

Lattaquant est en cours de Wardialing, seule feuille active, aucune des deux gchettes ntant vrifie. Lorigine de la premire gchette est vrifie...

Aprs un temps modlis par une loi exponentielle, lattaquant trouve le n du modem par Wardialing et se connecte.

...elle active donc les lments du sous-arbre cible, sauf ceux du sousarbre cibl par la seconde gchette, dont lorigine nest pas vrifie.

Serveur conquis

Serveur conquis

Serveur conquis

Serveur conquis

89
AND
Logu sur le serveur Logu sur le serveur

AND

AND

AND
Logu sur le serveur

Logu sur le serveur

OR
Wardialing Accs au serveur accord Wardialing

OR

OR
Accs au serveur accord Wardialing

OR
Accs au serveur accord

Wardialing

Accs au serveur accord

OR
Authentification par mot de passe Vulnrabilit trouve et exploite

AND OR

AND

OR
Authentification par mot de passe

AND
Vulnrabilit trouve et exploite

OR
Authentification par mot de passe

AND
Vulnrabilit trouve et exploite

Authentification par mot de passe

Vulnrabilit trouve et exploite

Force brute

Social engineering Force brute

Identification dune vulnrabilit

Exploitation dune vulnrabilit Social engineering Identification dune vulnrabilit

Exploitation dune vulnrabilit

Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit

Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit

La premire feuille tre ralise correspond ici lidentification dune vulnrabilit, qui a ncessit moins de temps que les autres.

Lorigine de la deuxime gchette du BDMP est vrifie lexploitation de la vulnrabilit identifie peut commencer.

Au bout dun temps distribu exponentiellement, lexploitation de la vulnrabilit russit.

Par le jeu des portes logiques, lvnement redout est ralis : lattaquant a atteint son objectif.

Figure III.16 Activation des el ements du BDMP au gr e de la progression de lattaque

Bien entendu, le processus dactivation des feuilles pr esent e dans la Figure III.16 saccomplit de fa con temporis ee, le petit mod` ele consid er e nimpliquant que des feuilles de type AA. Nous pouvons dailleurs nous int eresser maintenant aux aspects de quantication temporelle, d ecrits en Section 2.4.1. Pour cela, les param` etres suivants ont et e arbitrairement choisis, caract erisant le temps moyen n ecessaire a la r ` ealisation de chaque action : Pour la feuille Wardialing : = 105 s1 , i.e. MTTS 28 h ; Pour les feuilles Force brute, Identication dune vuln erabilit e, Exploitation dune vuln erabilit e:= 104 s1 , ce qui correspond ` a un MTTS 2, 8 h ; Pour lattaque de type Social engineering sur le mot de passe : = 5 106 s1 , i.e. MTTS 55 h. Avec ces valeurs, le MTTS global est de 1, 07 105 s, soit environ 30 heures, alors que la probabilit e pour lattaquant datteindre son objectif en un jour est de 0,55 (mais cette probabilit e peut etre calcul ee pour un temps arbitraire). La Table III.9 donne la liste de toutes les s equences dactions menant ` a la r ealisation de lobjectif de lattaquant, quanti ees pour un temps de mission dune journ ee (86 400 s). Les s equences sont ordonn ees selon leur contribution respective, indiqu ee dans la colonne de droite, ` a la probabilit e globale de r eussite de lattaque. La dur ee moyenne de chaque s equence est aussi indiqu ee. Table III.9 Liste et quantication des s equences
Sequences Wardialing, Force brute. Wardialing, Identication vuln erabilit e, Force brute. Wardialing, Identication vuln erabilit e, Exploitation vuln erabilit e. Wardialing, Social engineering. Wardialing, Identication vuln erabilit e, Social engineering. Probabilit e pendant le temps de mission 0, 2717 0, 1272 Dur ee moyenne (s) 4, 878 103 9, 756 103 Contribution 0, 498 0, 233

0, 1272

9, 756 103

0, 233

0, 0136 0, 0064

4, 878 103 9, 756 103

0, 025 0, 011

Enn, ce petit mod` ele nous permet dillustrer ` a nouveau les deux approches de mod elisation dalternatives pour lattaquant, pr esent ees en Section 2.3.2. Dans le mod` ele de la Figure III.15 jusque l` a consid er e, une fois la ligne de modem trouv ee, lattaquant m` ene de front une attaque de type Force brute, une action de Social engineering et lIdentication dune vuln erabilit e. Il est possible de mod eliser un comportement plus s equentiel en consid erant que lattaquant tentera dabord les techniques dattaque de mot de passe, avant dessayer, si elles sav` erent infructueuses au bout dun temps donn e, lattaque par exploitation de vuln erabilit e. La Figure III.17 introduit des feuilles phases pour ce faire. 2.6.2 Cas no 2 : attaque hors-ligne dun chier prot eg e par mot de passe

Ce deuxi` eme cas de gure illustre une utilisation plus compl` ete des BDMP, puisquon y retrouve lutilisation de phases, mais surtout des trois types de feuilles AA, TSE et ISE, eclairant leur emploi respectif. Le BDMP de la Figure III.18 repr esente lattaque dun chier prot eg e par mot de passe, dont une copie a et e d erob ee par lattaquant. On suppose que la saisie du mot de passe est la seule fa con dacc eder aux informations quil contient, cible nale de lattaquant (on ne consid` ere ainsi pas les failles eventuelles du syst` eme de protection du chier, par exemple dans les techniques cryptographiques employ ees ou linterface du conteneur logiciel ; ces attaques peuvent faire lobjet de mod` eles distincts). Lattaquant a besoin de ces informations sous une semaine, temps de mission consid er e pour les etudes quantitatives du mod` ele. Une telle situation peut avoir lieu par exemple dans le cadre dun appel dore se d eroulant dans un environnement hautement comp etitif. La partie haute de la Figure III.18 donne la structure macroscopique de lattaque : 90

Serveur conquis

AND
Logu sur le serveur

OR
Wardialing Accs au serveur accord

AND

AND

Phase dattaque du mot de passe

OR

Phase dattaque par vulnrabilit

AND

Authentification par mot de passe

Vulnrabilit trouve et exploite

Force brute

Social engineering

Identification dune vulnrabilit

Exploitation dune vulnrabilit

Figure III.17 Ajout de phases dans le cas d etude no 1

91

 lattaquant ayant le chier sous son contr ole, il tente de casser le mot de passe durant toute la semaine par di erentes techniques (porte Alternatives de cassage de mot passe) ; en parall` ele de ces activit es, il essaye dautres approches en deux temps : dans un premier temps, il se concentre sur les attaques de type social engineering , auquel il consacre un temps moyen de 2 jours, dans un second temps, si les techniques de social engineering nont pas abouti, lattaquant bascule vers des tentatives dinstallation de keylogger 7 sur la machine dun utilisateur susceptible de saisir le mot de passe recherch e. Les parties m ediane et basse de la Figure III.18 d etaillent ces deux approches : pour la phase de social engineering , nous avons r eduit le mod` ele au simple encha nement dune phase de reconnaissance, qui sera eventuellement utile ` a lattaquant par ailleurs, et des techniques dapproche par email et par t el ephone, repr esent ees par les feuilles AA Ex ecution du pi` ege par email et Ex ecution du pi` ege t el ephonique. La feuille instantan ee (ISE) Utilisateur pi eg e mod elise la probabilit e estim ee que la ou les personnes cibl ees se fassent pi eger ; la phase dinstallation du keylogger est elle-m eme d ecompos ee en deux temps : dans un premier temps, une installation distante, moins risqu ee pour lattaquant, est recherch ee. Lattaque ici mod elis ee repose sur le pi egeage dun email et de sa pi` ece jointe. On peut noter dans le sous-arbre correspondant lemploi dune feuille TSE, qui mod elise le temps probable avant que lutilisateur cibl e nouvre lemail pi eg e. Ce type de feuille est employ e pour mod eliser un ev enement temporis e hors de contr ole de lattaquant, ce qui est bien le cas ici. La feuille ISE mod elise la probabilit e que la charge malveillante sex ecute correctement dans lenvironnement logiciel de lutilisateur, dans un second temps, si linstallation distante du keylogger est infructueuse, lattaquant se r esout ` a une installation physique du keylogger, n ecessitant une phase de reconnaissance sp ecique en plus de celle eectu ee pr ec edemment, et lacc` es physique ` a la machine. An dillustrer les capacit es de quantication temporelle des BDMP, nous avons param etr e le mod` ele de la Figure III.18 avec les valeurs indiqu ees dans la Table III.10. Table III.10 Param` etres du cas d etude
Nom de la feuille D eduction, Dictionnaire Force brute Phase de social engineering Reconnaissance g en erique Ex ecution du pi` ege par email Ex ecution du pi` ege t el. Utilisateur pi eg e Phase keylogger Phase distante Pr eparation de la charge Ouverture de la P.J. pi eg ee Bonne ex ecution de la charge Phase physique Reconnaissance physique Installation locale du keylogger Mot de passe intercept e Type AA AA Phase AA AA AA ISE Phase Phase AA TSE ISE Phase AA AA TSE Param` etre =0 = 3, 802 107 s1 172, 800 s = 1, 157 105 s1 = 1, 157 105 s1 = 5, 787 106 s1 = 0, 33 432 000 s 172 800 s = 5, 787 106 s1 = 1, 157 105 s1 = 0, 1 259 200 s = 5, 787 106 s1 = 1, 157 105 s1 = 1, 157 105 s1 Remarque Succ` es consid er e comme impossible (mdp al eatoire) MTTS (1/) un mois Dur ee moyenne = 2 jours MTTS (1/) 1 jour MTTS (1/) 1 jour (acc` es distant r egulier) MTTS (1/) 2 jours 1 chance sur 3 (cibl e mais utilisateur sensibilis e) Dur ee moyenne de la phase = 5 jours Dur ee moyenne de la phase = 2 jours MTTS (1/) 2 jours MTTS (1/) 1 jour 1 chance sur 10 (nombreux facteurs inconnus) Dur ee moyenne = 3 jours MTTS (1/) 2 jours MTTS (1/) 1 jour MTTS (1/) 1 jour

7. Parfois traduit par enregistreur de frappes , nous emploierons le terme anglais beaucoup plus courant pour d esigner un logiciel transmettant vers lattaquant a ` linsu de lutilisateur les touches frapp ees sur son clavier.

92

Password_found Mot de passe trouv

OR
Attaques du mot de passe Password_attacks

OR
Alternatives de cassage de mot de passe Cracking_alternatives

AND
Succs du social engineering Social_Engineering_Success

AND
Succs Keylogger_Success du keylogger

Dduction

Dicitonnaire

Force brute Bruteforce

Phase de social engineering

AND

Phase keylogger

AND
Keylogger

Social engineering

OR
Alternatives Keylogger_installation_alternatives dinstallation du keylogger

TSE

Mot Password_intercepted de passe intercept

AND
Succs alternatives non-techniques

AND
Remote_installation Installation distante

AND
Installation Physical_installation physique

OR
Alternatives non-techniques

ISE!

Remote_Phase Phase distante

AND
Distante Remote

Phase physique

AND
Physique Physical

Utilisateur pig

AND
Excution du pige par email Excution du pige tlphonique Reconnaissance gnrique Prparation de la charge Excution du fichier envoy

Reconnaissance Physical_reconnaissance physique Installation locale du keylogger

TSE

ISE!

Ouverture de la pice jointe pige Crafted_attachement_opened

Bonne excution de la charge

Figure III.18 Attaque dun chier prot eg e par mot de passe

93

Analyse g en erale. Les param` etres de la Table III.10 conduisent ` a une probabilit e de succ` es en une semaine de 0, 422 avec un MTTS global de 22 jours environ. Une exploration exhaustive du mod` ele aboutit ` a 654 s equences dattaque. La Table III.11 en montre une s election repr esentative, dans laquelle les s equences sont ordonn ees selon leur contribution, i.e. le rapport entre leur probabilit e doccurrence dans le temps de mission consid er e et celle de la r ealisation de lattaque dans ce m eme temps toutes s equences confondues. Dans cette table, le d ebut dune phase est marqu e par une balise <phase> et se termine par </phase> (si lobjectif na pas et e atteint entre temps). M eme si les phases ne sont pas en soi des ev enements de base, elles font partie int egrante de la description des s equences, structurant leur chronologie. Il en est de m eme pour les feuilles r ealis ees inutilement, rep er ees en italiques dans la description des s equences. En fait, la plupart des s equences incluent au moins un ev enement de base r ealis e mais dont la r ealisation na nalement pas contribu e ` a latteinte de lobjectif nal de lattaque : ces s equences sont dites non minimales. Si lon met de c ot e ces ev enements inutiles, on obtient les sous-s equences minimales (sousentendu, de succ` es). Les s equences no 1 ` a 4 sont d ej` a minimales, et repr esentent dun point de vue probabilit e doccurrence 47 % de toutes les s equences. Les s equences no 5 et no 6 sont de bons exemples de s equences non minimales. Force brute est une feuille sp ecique, car sa r ealisation constitue aussi la seule s equence minimale ` a un el ement ; elle appara t directement comme s equence minimale en ligne no 3, mais ponctue egalement un nombre important de s equences non minimales. En fait, la contribution consolid ee de toutes les s equences termin ees par le succ` es de lattaque par force brute p` ese 40 % de toutes les s equences. Un tel poids, malgr e le MTTS important de cette feuille, peut etre expliqu e par labsence dautres etapes ` a r ealiser. Ce constat nous am` ene ` a une consid eration plus g en erale : une analyse pouss ee ne devrait pas consid erer la seule liste des s equences mais egalement dautres vues dont les contributions consolid ees des s equences minimales. Nous y revenons en Section 6.3.7. Les s equences no 3 ` a 19 nimpliquent que deux s equences minimales ; o la s equence n 20 am` ene une nouvelle sous-s equence minimale, puis il faut attendre la s equence no 34 pour en trouver encore une nouvelle. Cette derni` ere illustre une sp ecicit e des feuilles TSE, capables de se r ealiser en mode Inactif si elles ont d ej` a et e activ ees. Table III.11 S election de s equences avec quantication
S equence 1 2 3 4 <Phase Social Eng.>Reconnaissance g en erique, Ex ecution du pi` ege par email, Utilisateur pi eg e <Phase Social Eng.>Reconnaissance g en erique, Ex ecution pi` ege t el., Utilisateur pi eg e Force brute <Phase Social Eng.></Phase Social Eng.><Phase keylogger><Phase distante></Phase distante><Phase physique>Reconnaissance physique, Installation locale du keylogger, Mot de passe intercept e <Phase Social Eng.></Phase Social Eng.><Phase keylogger><Phase distante>Reconnaissance g en erique </Phase distante><Phase physique>Reconnaissance physique, Installation locale du keylogger, Mot de passe intercept e <Phase Social Eng.>Reconnaissance g en erique, Ex ecution du pi` ege par email, Utilisateur pi eg e( echec), Force brute <Phase Social Eng.></Phase Social Eng.><Phase keylogger><Phase distante>Reconnaissance g en., Pr eparation de la charge, Bonne ex ec. de la charge, Mot de passe intercept e <Phase Social Eng.></Phase Social Eng.><Phase keylogger><Phase distante>Reconnaissance g en., Pr eparation de la charge </Phase distante><Phase physique>Ouverture de la P.J. pi eg ee, Bonne ex ec. de la charge, Reconnaissance physique, Installation locale keylogger, Mot de passe intercept e Probabilit e (1 semaine) 1, 059 101 5, 295 102 2, 144 102 1, 749 102 Dur ee moyenne (s) 9, 889 104 9, 889 104 5, 638 104 2, 976 105 Contrib. 25,1 % 12,5 % 5,1 % 4,1 %

1, 350 102

3, 677 105

3,2 %

6 ... 20

1, 259 102

2, 610 105

3,0 %

2, 500 103

2, 761 105

0,6 %

... 34

1, 506 103

4, 594 105

0,4 %

94

 Etude de sensibilit e. An de compl eter lanalyse donn ee dans la section pr ec edente, et de fournir des el ements pour faciliter des d ecisions de s ecurit e, nous etudions maintenant lincidence de changements de valeur de di erents param` etres du mod` ele sur la probabilit e de r eussite globale de lattaque dans le temps de mission (Ps ). Nous consid erons dans un premier temps ces variations pour les feuilles de type AA, dabord individuellement, puis en comparant plus formellement leur incidence respective sur Ps 8 . Nous etudions ensuite lincidence des param` etres des feuilles de type ISE. La Figure III.19 donne l evolution de Ps lorsque le temps moyen n ecessaire au succ` es (MTTS) de lattaque par force brute varie autour de sa valeur initialement choisie (1 mois, rep er ee par un losange blanc). La baisse du MTTS correspond ` a un mot de passe plus simple et donc plus rapide ` a trouver par recherche exhaustive automatis ee, tandis ce que laugmentation du MTTS correspond ` a un mot de passe plus dicile ` a attaquer par cette technique. Les valeurs repr esent ees vont de 2 ` a 60 jours, avec un pas de 4 jours. Lincidence sur Ps est nette, s etalant entre 0, 353 et 0, 978 (soit une multiplication denviron 2,8). Elle est particuli` erement marqu ee pour des MTTS inf erieurs ` a 1 mois. Comme d ej` a soulign e dans la section pr ec edente, lattaque par force brute constitue une s equence minimale dordre 1 : la r ealisation de cette feuille seule sut pour que lattaque soit r eussie, ce qui explique linuence de son param etrage. La Figure III.20 correspond ` a l evolution de Ps lorsque le MTTS de pr eparation de la charge varie autour de sa valeur initialement choisie (2 jours) par tranche de 6 h entre une valeur minimum de 6 h et un maximum de 96 h (i.e. 4 jours). Une diminution correspond ` a un syst` eme informatique dont les vuln erabilit es sont plus nombreuses, plus connues ou plus faciles ` a exploiter ; une dur ee moyenne plus importante pour lattaquant re etera a contrario un syst` eme moins vuln erable (par une politique de mise a jour am ` elior ee par exemple). Leet de ces variations sur Ps est minime (de 0, 418 ` a 0, 436, i.e. une augmentation denviron 4 %), notamment vis-` a-vis des variations observ ees pour la feuille Force brute. La Figure III.21 montre leet des changements de valeur du temps moyen n ecessaire ` a l etape de reconnaissance g en erique (initialement de 24 h) sur Ps . Cette dur ee d epend de di erents facteurs techniques (e.g. conguration et durcissement 9 du syst` eme , accessibilit e r eseau) et organisationnels (e.g. publication dinformations utiles ` a lattaquant). Une variation entre 1 h et 48 h montre une incidence plus signicative que pour le MTTS de pr eparation de la charge malveillante, Ps variant de 0, 391 ` a 0, 477 (soit environ 22 %). La Figure III.22 illustre leet de variation du MTTS de linstallation locale du keylogger sur la probabilit e de r eussite de lattaque globale Ps . Cette dur ee est directement li ee ` a la surveillance notamment physique des locaux et ` a la vigilance des personnels. L` a aussi, initialement param etr e avec une valeur de 24 h, lanalyse dincidence sur Ps est men ee pour un MTTS allant de 1 h ` a 48 h. Ps varie dans des proportions similaires ` a celles de la variation associ ee ` a la feuille Reconnaissance g en erique, allant de 0, 401 a 0, 467 (soit environ 17 %). ` Bien que les courbes des Figures III.19 ` a III.22 nous ont d ej` a permis de comparer informellement les incidences respectives des param` etres des feuilles de type AA sur Ps , les Figures III.23 et III.24 constituent des bases plus facilement exploitables dans cette optique. La Figure III.23 repr esente l evolution de Ps selon la variation des param` etres consid er es, normalis es par rapport ` a leurs valeurs initiales. Elle conrme le r ole pr epond erant de la feuille dattaque par force brute par rapport aux trois autres feuilles dans la r eussite de lattaquant, soulignant limportance de la qualit e du mot de passe pour lemp echer darriver ` a ses ns. La Figure III.24 zoome sur les trois autres feuilles, permettant de constater la moindre incidence du MTTS de pr eparation de la charge par rapport ` a celui de linstallation du key` ressources de s logger , lui-m eme moins inuant que le MTTS de la reconnaissance g en erique. A ecurit e contraintes, une fois la qualit e du mot de passe assur ee, il sera donc plus fructueux de concentrer les eorts de s ecurit e sur ce dernier aspect. Nous nous int eressons enn aux eets des param` etres des feuilles de type ISE, ` a savoir Utilisateur pi eg e et Bonne ex ecution de la charge. La Figure III.25 montre lincidence des probabilit es de r ealisation correspondantes sur Ps . Les deux courbes peuvent etre directement superpos ees sans normalisation particuli` ere, les probabilit es s echelonnant naturellement entre 0 et 1. Cette gure appuie le constat suivant : il est plus int eressant pour le cas d etude consid er e de limiter la probabilit e quun utilisateur se fasse pi eger par des attaques de type social engineering plut ot que de tenter de renforcer les syst` emes pour r eduire les chances de bonne ex ecution dun malware.
8. Lensemble de donn ees num eriques repr esent ees par les courbes de cette section est consign e dans lAnnexe C. 9. Le durcissement dun syst` eme (system hardening ) correspond au processus de r eduction de fonctionnalit es et de services oerts par un syst` eme au minimum requis an de limiter la surface dattaque. En particulier, les informations permettant didentier facilement les services et logiciels ex ecut es sur la machine sont elimin ees.

95

Probabilit de succs de l'attaque (en une semaine)

1.0

0.9
0.8 0.7 0.6 0.5 0.4 0.3

0.2
0.1 0.0

1.93E-07

3.05E-07

3.40E-07

8.27E-07

1.16E-06

2.14E-07

2.31E-07

2.52E-07

2.76E-07

3.80E-07

4.45E-07

5.26E-07

6.43E-07

1.93E-06

60 54 50 46 42 38 34 30.4 26 22 18 14 10 6
Paramtre et MTTS quivalent en jours

Figure III.19 Incidence du param etrage de la feuille Force brute sur Ps

Probabilit de succs de l'attaque (en une semaine)

1.0 0.9
0.8

0.7 0.6
0.5

0.4 0.3
0.2

0.1
0.0

2.89E-06

3.09E-06

3.31E-06

3.56E-06

4.63E-06

5.14E-06

5.79E-06

6.61E-06

1.16E-05

1.54E-05

2.31E-05

3.86E-06

4.21E-06

7.72E-06

9.26E-06

96 90 84 78 72 66 60 54 48 42 36 30 24 18 12 6 Paramtre et MTTS quivalent en heures

Figure III.20 Incidence du param etrage de la feuille Pr eparation de la charge sur Ps

96

4.63E-05

5.79E-06

Probabilit de succs de l'attaque (en une semaine)

1.0 0.9 0.8

0.7 0.6

0.5 0.4 0.3 0.2 0.1 0.0 5.79E-06 6.31E-06 6.94E-06 7.72E-06 1.16E-05 1.39E-05 1.74E-05 2.31E-05 3.47E-05
8.68E-06 9.92E-06 6.94E-05 2.78E-04

48 44 40 36 32 28 24 20 16 12

Paramtre et MTTS quivalent en heures

Figure III.21 Incidence du param etrage de la feuille Reconnaissance g en erique sur Ps

Probabilit de succs de l'attaque (en une semaine)

1.0 0.9
0.8

0.7 0.6 0.5 0.4 0.3 0.2

0.1

0.0 5.79E-06 6.31E-06 6.94E-06 7.72E-06 1.16E-05 1.39E-05 1.74E-05 2.31E-05 3.47E-05
8.68E-06 9.92E-06 6.94E-05 2.78E-04

48 44 40 36 32 28 24 20 16 12 Paramtre et MTTS quivalent en heures

Figure III.22 Incidence du param etrage de la feuille Installation locale du keylogger sur Ps

97

1.0 0.9 Force brute 0.8 Prparation de la charge 0.7 Reconnaissance gnrique 0.6 0.5 0.4 0.3 0.2 0.1 0.0 Probabilit de succs de l'attaque (en une semaine) Probabilit de succs de l'attaque (en une semaine) Installation locale du keylogger

2.0

1.9

1.8

1.7

1.6

1.5

1.4

1.3

1.2

1.1

1.0

0.9

0.8

0.7

0.6

0.5

0.4

0.3

0.2

0.1
0.1

Rapports 0/

Figure III.23 Comparaison de lincidence du param etrage des quatre feuilles de type AA sur Ps

Installation locale du keylogger

0.48

Prparation de la charge
Reconnaissance gnrique 0.46

2.0

1.5

1.0

0.5

Rapports 0/

Figure III.24 Zoom sur linuence de trois des quatre feuilles AA sur Ps

98

0.0

1.9

1.8

1.7

1.6

1.4

1.3

1.2

1.1

0.9

0.8

0.7

0.6

0.4

0.3

0.2

0.0 0.50 0.44

0.42

0.40

0.38

1.0 Probabilit de succs de l'attaque (en une semaine) 0.9 Bonne excution de la charge

0.8
Utilisateur pig 0.7 0.6 0.5 0.4

0.3
0.2 0.1

0.0
0 0.1 0.2 0.3 0.4 0.5 Paramtres 0.6 0.7 0.8 0.9 1

Figure III.25 Incidence du param etrage des feuilles ISE sur Ps

Globalement, il convient cependant de souligner que les comparaisons pr ec edentes sappuient sur des etudes param etriques ceteris paribus, or des variations combin ees mineures pourraient inuencer Ps de fa con plus marqu ee que certaines variations plus fortes mais limit ees ` a un param` etre. Lanalyse doit alors faire appel ` a des techniques doptimisation et de d ecision ` a param` etres multiples, qui feront lobjet de travaux futurs (cf. Section 6.3.7).

99

Int egration des aspects d efensifs : d etections et r eactions

Les approches classiques de la s ecurit e couvrent g en eralement les aspects de protection, de d etection et de r eaction [113, 23]. Dans ladaptation des BDMP ` a la s ecurit e pr esent ee en Section 2, le niveau de protection peut etre consid er e comme tacitement pris en compte, dune part via la structure du BDMP, mod elisant les seuls chemins consid er es comme possibles pour lattaquant, et dautre part via les valeurs des param` etres ( et ), re etant la comp etence de lattaquant mais aussi ses dicult es face ` a un niveau de protection donn e. Dans cette section, nous nous int eressons ` a la mod elisation des aspects de d etection et de r eaction, et pr esentons comment le cadre th eorique des BDMP a et e sp eciquement etendu pour prendre en compte ces dimensions.

3.1

La d ecomposition IEFA

Lint egration de la d etection dans une mod elisation dynamique nous a conduit a ` consid erer quatre types de d etection distincts pour les feuilles temporis ees AA et TSE. Ces types se di erencient par linstant o` u la d etection peut avoir lieu : une d etection de type I (pour Initial) peut avoir lieu au moment o` u lattaquant commence son action (cas des feuilles AA), ou au moment o` u l ev enement mod elis e est activ e (cas des feuilles TSE) ; une d etection de type E (pour En-cours) peut avoir lieu durant les tentatives de lattaquant (cas des feuilles AA), ou pendant que l ev enement mod elis e est activ e mais pas encore r ealis e (cas des feuilles TSE) ; une d etection de type F (pour Finale) peut avoir lieu au moment o` u lattaquant r eussit son action (cas des feuilles AA), ou au moment o` u l ev enement mod elis e est r ealis e (cas des feuilles TSE) ; une d etection de type A (pour A posteriori ) peut avoir lieu apr` es que laction ou l ev enement a et e r ealis e, sur la base des traces laiss ees par laction ou l ev enement en question. Chacun de ces types a sa pertinence propre, d ependant de laction ou de l ev enement consid er e. Une telle distinction permet une mod elisation nuanc ee de la d etection ; nous la d esignons par lacronyme IEFA 10 , form e` a partir des d enominations des quatre types de d etection distingu es. Les feuilles ISE quant ` a elles, de par leur caract` ere instantan e, ont et e trait ees quelque peu di eremment. Nous avons distingu e deux types de d etection : la d etection en cas de r ealisation de l ev enement (tirage favorable) et la d etection en cas de non r ealisation de l ev enement (tirage d efavorable).

3.2

Extension du cadre th eorique

La mod elisation des aspects de d etection et de r eaction nous ont amen e` a etendre le cadre th eorique pr esent e en Section 2.2 des fa cons suivantes : en associant a ` chaque el ement du BDMP une nouvelle fonction bool eenne du temps 11 Di appel ee indicateur de statut de d etection ; en rempla cant le mode Actif par deux modes : Actif Non-d etect e (AN), et Actif D etect e (AD) ; en s electionnant le mode dun el ement non plus en fonction de Xi uniquement, mais en fonction de la valeur bool eenne Xi Di , comme d ecrit par la Table III.12. Soulignons que dans les notations formelles utilis ees dans les pages qui suivent, un 0 en indice correspond au mode Inactif et couvre les valeurs Xi Di = 00 ou 01 ; en etendant les processus de Markov pilot es associ es aux feuilles, avec de nouveaux etats, transitions et fonctions de transfert permettant de mod eliser les d etections et les r eactions.
10. Lacronyme utilis e dans la publication formalisant cette approche [479] est IOFA, pour Initial, On-going, Final, A posteriori. Il est chang e ici uniquement pour des raisons de traduction. 11. Comme en Section 2.2, nous nindiquerons pas le temps dans les descriptions formelles pour all eger les notations, mais il devrait appara tre partout.

100

Table III.12 Le nouveau s electeur de modeXi Di et les modes correspondants Xi Di Mode 00 01 Inactif 10 Actif Non-d etect e (AN) 11 Actif D etect e (AD)

3.2.1

Int egration des d etections et des r eactions dans les processus de Markov pilot es

An dint egrer d etections et r eactions, nous red enissons les processus de Markov pilot es tels que pr esent es en Section 2.2.1. Dans ce cadre etendu, un processus de Markov pilot e Pi est un ensemble i i i i i i i i u: (t), f0 Z0 (t), Z10 (t), Z11 10 , f011 , f1011 , f100 , f110 , o`
i i i Z0 (t), Z10 (t), Z11 (t) sont trois processus de Markov homog` enes ` a espaces d etats discrets. Pour k i i i dans {0,10,11}, lespace d etats de Zk (t) est Ai k . Chaque Ak contient un sous-ensemble Sk qui correspond aux etats de succ` es ou de r ealisation de l ev enement de base mod elis e par Pi , et un i sous-ensemble Dk qui correspond aux etats de d etection ; i i i i i f0 es telles que : 10 , f011 , f1011 , f100 , f110 sont cinq fonctions de transfert de probabilit i i pour tout x Ai es sur Ai 0 , f010 (x) est une distribution de probabilit 10 , telle que si x S0 , i i i alors j S i (f010 (x))(j ) = 1, et si x D0 , alors j Di (f010 (x))(j ) = 1,
10 10

i i pour tout x Ai es sur Ai 0 , f011 (x) est une distribution de probabilit 11 , telle que si x S0 , i i i alors j S i (f011 (x))(j ) = 1, et si x D0 , alors j Di (f011 (x))(j ) = 1,
11 11

i i es sur Ai pour tout x Ai 11 , telle que si x S10 , 10 , f1011 (x) est une distribution de probabilit i i i alors j S i (f1011 (x))(j ) = 1, et si x D10 , alors j Di (f1011 (x))(j ) = 1,
11 11

i i pour tout x Ai e sur Ai 10 , f100 (x) est une distribution de probabilit 0 , telle que si x S10 i i i alors j S i (f100 (x))(j ) = 1, et si x D10 , alors j Di (f100 (x))(j ) = 1,
0 0

i i e sur Ai pour tout x Ai 0 , telle que si x S11 11 , f110 (x) est une distribution de probabilit i i i alors j S i (f110 (x))(j ) = 1, et si x D11 , alors j Di (f110 (x))(j ) = 1.
0 0

i Notons que f11 a etre d enie : dans notre cadre, un attaquant une fois d etect e ne peut 10 na pas ` plus redevenir non d etect e. Les processus de Markov pilot es pr esent es en Section 2.2.4 sont r eam enag es pour int egrer les aspects de d etection et de r eaction, comme d ecrit dans les Tables III.13, III.14 et III.15. Ils int` egrent la d ecomposition IEFA : la d etection est possible pour une action ou un ev enement temporis e` a son tout d ebut, durant sa r ealisation, ` a son issue ou m eme a posteriori. Les param` etres de transition associ es aux d etections sont marqu es par un D en indice. Dans le cas des feuilles AA et TSE, le D est suivi entre parenth` eses du type de d etection caract eris e (cest-` a-dire dun I, dun E, dun F ou dun A). Dans le cas des feuilles ISE, il est suivi par lissue caract eris ee : /R dans le cas dune r ealisation favorable ` a lattaquant, /NR si lissue est d efavorable. Les param` etres de succ` es et de r ealisation sont li es au statut de d etection de la feuille : un /D en indice signie sachant que lattaquant est d etect e , un /ND signie sachant que lattaquant na pas et e d etect e . Les disques dont la circonf erence est en pointill e repr esentent des etats instantan es, les autres sont des etats temporis es. Par etats instantan es, nous d esignons :

des etats introduits articiellement a ` des ns de lisibilit e. Cest par exemple le cas des etats SDP dans la Table III.13. Ils pourraient etre facilement elimin es en fusionnant les transitions temporis ees rentrantes vers ces etats avec les transitions instantan ees sortantes, mais lintelligibilit e des graphes en p atirait ; des etats sp eciaux de d eclenchement , qui ont et e introduits pour changer les valeurs des Di , et d eclencher les changements idoines de modes sur la base de l evolution interne aux feuilles mod elis ees. Cest par exemple le cas dans la Table III.13, dans le mode AN : une arriv ee dans l etat D etect e ou dans l etat Succ` es D etect e d eclenche un changement de mode instantan e vers le mode AD. Les deux arriv ees mettent le statut de d etection Di ` a 1, faisant passer la valeur bool eenne Xi Di utilis ee comme s electeur de mode, de 10 ` a 11. Ces etats sp eciaux de d eclenchement sont repr esent es par des disques hachur es. 101

Table III.13 Processus de Markov pilot e de la feuille Attacker Action (AA)

Processus de Markov Inactif
i (Z0 (t))
Succs Non-dtect

Fonctions de transfert de probabilits

f 0i10(PN)= {Pr(EN)= 1 D(I), Pr(D)= D(I), Pr(SD)= 0, Pr(SN)= 0}
(PD)= {Pr(EN)= 0, Pr(D)= 1, Pr(SD)= 0, Pr(SN)= 0} (SN)= {Pr(EN)= 0, Pr(D)= 0, Pr(SD)= 0, Pr(SN)= 1} (SD)= {Pr(EN)= 0, Pr(D)= 0, Pr(SD)= 1, Pr(SN)= 0}

Potentiel Non-dtect

f
Potentiel Dtect Succs Dtect

i 011 (PN)=

{Pr(ED)= 1, Pr(SD)= 0}*

(PD)= {Pr(ED)= 1, Pr(SD)= 0} (SN)= {Pr(ED)= 0, Pr(SD)= 1}* (SD)= {Pr(ED)= 0, Pr(SD)= 1}
i f10 11(EN)= {Pr(ED)= 1, Pr(SD)= 0}*

i Actif Non-dtect (Z10 (t ))

En cours Non-dtect

S/ND D(E)

Succs avec Dtection Potentielle

1 - D(F) D(F)

Succs Non-dtect

(D)= {Pr(ED)= 1, Pr(SD)= 0}** (SD)= {Pr(ED)= 0, Pr(SD)= 1}** (SN)= {Pr(ED)= 0, Pr(SD)= 1}*
i f11 0 (ED)= {Pr(PN)= 0, Pr(PD)= 1, Pr(SD)= 0, Pr(SN)= 0}

D(A)
Si 1 Dtect Di1 Succs Dtect

(SD)= {Pr(PN)= 0, Pr(PD)= 0, Pr(SD)= 1, Pr(SN)= 0}

i f10 0 (EN)= {Pr(PN)= 1, Pr(PD)= 0, Pr(SD)= 0, Pr(SN)= 0}

i Actif Dtect (Z11 (t))

En cours Dtect

(SN)= {Pr(PN)= 0, Pr(PD)= 0, Pr(SD)= 0, Pr(SN)= 1}

Succs Dtect Si1

S/D

* La dtection a eu lieu au niveau dune autre feuille. ** Bien que D et SD soient de dure nulle, ces lignes sont ncessaires pour spcifier la fonction de transfert, le transfert pouvant tre dclench par la feuille elle-mme.

102

Table III.14 Processus de Markov pilot e de la feuille Instantaneous Security Event (ISE)
Processus de Markov Inactif
i (Z0 (t))

Fonctions de transfert de probabilits

f 0i10 (NN)={Pr(NN)= (1S/ND)(1D/NR), Pr(RN)= S/ND(1D/R),
Pr(ND)= (1S/ND)D/NR, Pr(RD)= S/NDD/R}

Non-ralis Non-dtect

Ralis Non-dtect

(RN)={Pr(NN)= 0, Pr(RN)= 1, Pr(ND)= 0, Pr(RD) = 0}*** (ND)={Pr(NN)= 0, Pr (RN)= 0, Pr(ND)= 1S/D, Pr(RD) = S/D} (RD)={Pr(NN)= 0, Pr (RN)= 0, Pr(ND)= 0, Pr(RD) = 1}

Non-ralis Dtect

Ralis Dtect

i 011

(NN)={Pr(ND)= (1 S/ND), Pr(RD)= S/ND}* (RN)={Pr(ND)= 0, Pr(RD)= 1} (ND)={Pr(ND)= (1 S/D), Pr (RD)= S/D}* (RD)={Pr(ND)=0, Pr (RD)=1}

Actif Non-dtect (Z (t ))
f
Non-ralis Non-dtect Ralis Non-dtect Si1
i 1011

i 10

(NN)={Pr(ND)= 1, Pr(RD)= 0}* (RN)={Pr(ND)= 0, Pr(RD)= 1}* (ND)={Pr(ND)= 1, Pr(RD)= 0}** (RD)={Pr(ND)= 0, Pr(RD)= 1}**

Non-ralis Dtect Di1

Ralis Dtect Di1

i 110

(ND)={Pr(NN)= 0, Pr(RN)= 0, Pr(ND)= 1, Pr(RD)= 0} (RD)={Pr(NN)= 0, Pr(RN)= 0, Pr(ND)= 0, Pr(RD)= 1}

i f10 0 (NN)={Pr(NN)= 1, Pr(RN)= 0, Pr(ND)= 0, Pr(RD)= 0}

i Actif Dtect (Z11 (t))

(RN)={Pr(NN)= 0, Pr(RN)= 1, Pr(ND)= 0, Pr(RD)= 0}

* La dtection a eu lieu au niveau dune autre feuille. ** Bien que D et SD soient de dure nulle, ces lignes sont ncessaires pour spcifier
Ralis Dtect Si1

Non-ralis Dtect

la fonction de transfert, le transfert pouvant tre dclench par la feuille elle-mme. *** On suppose quune fois la feuille ralise, les ventuelles ractivations ne peuvent plus provoquer de dtection.

103

Table III.15 Processus de Markov pilot e de la feuille Timed Security Event (TSE)
Processus de Markov Inactif
i (Z0 (t))

Fonctions de transfert de probabilits

f 0i10(PN)={Pr(NN)= 1 D(I), Pr(ND)= D(I), Pr(RD)= 0, Pr(RN)= 0}
(PD)={Pr(NN)= 0, Pr(ND)= 1, Pr(RD)= 0, Pr(RN)= 0}

Potentiel Non-dtect

Potentiel Dtect

(NN)={Pr(NN)= 1, Pr(ND)= 0, Pr(RD)= 0, Pr(RN)= 0} (RN)={Pr(NN)= 0, Pr(ND)= 0, Pr(RD)= 0, Pr(RN)= 1} (ND)={Pr(NN)= 0, Pr(ND)= 1, Pr(RD)= 0, Pr(RN)= 0} (RD)={Pr(NN)= 0, Pr(ND)= 0, Pr(RD)= 1, Pr(RN)= 0}

Non-ralis Non-dtect

'R/ND D(E)

Ralis avec Dtection Potentielle

1 - D(F) D(F)

Ralis Non-dtect

f 0i11 (PN)={Pr(ND)= 1, Pr(RD)= 0}*

D(A)

(PD)={Pr(ND)= 1, Pr(RD)= 0} (NN)= {Pr(ND)= 1, Pr(RD)= 0}* (ND)= {Pr(ND)= 1, Pr(RD)= 0} (RD) = {Pr(ND)= 0, Pr(RD)= 1} (RN) = {Pr(ND)= 0, Pr(RD)= 1}*

Non-ralis Dtect

'R/D
Di1

Si1
Ralis Dtect

i Actif Non-dtect (Z10 (t ))

i f10 11 (NN)= {Pr(ND)= 1, Pr(RD)= 0}*

(ND)= {Pr(ND)= 1, Pr(RD)= 0}**

Non-ralis Non-dtect

R/ND D(E)

Ralis avec Dtection Potentielle

1 - D(F) D(F)

Ralis Non-dtect

(RD) = {Pr(ND)= 0, Pr(RD)= 1}** (RN) = {Pr(ND)= 0, Pr(RD)= 1} *

i f11 0 (ND)={Pr(PN)=0, Pr(PD)=0, Pr(NN)=0, Pr(ND)=1, Pr(RD)=0, Pr(RN)=0}

D(A)
Si1
Non-ralis Dtect Ralis Dtect

(RD)={Pr(PN)=0, Pr(PD)=0, Pr(NN)=0, Pr(ND)=0, Pr(RD)=1, Pr(RN)=0}

Di1

i f10 0 (NN)={Pr(PN)=0, Pr(PD)=0, Pr(NN)=1, Pr(ND)=0, Pr(RD)=0, Pr(RN)=0}

(ND)={Pr(PN)=0, Pr(PD)=0, Pr(NN)=0, Pr(ND)=1, Pr(RD)=0, Pr(RN)=0}

Actif Dtect (Z (t))

R/D

i 11

(RD)={Pr(PN)=0, Pr(PD)=0, Pr(NN)=0, Pr(ND)=0, Pr(RD)=1, Pr(RN)=0} (RN)={Pr(PN)=0, Pr(PD)=0, Pr(NN)=0, Pr(ND)=0, Pr(RD)=0, Pr(RN)=1}
Ralis Dtect

Non-ralis Dtect

* La dtection a eu lieu au niveau dune autre feuille.

Si1

** Bien que D et SD soient de dure nulle, ces lignes sont ncessaires pour spcifier la fonction de transfert, le transfert pouvant tre dclench par la feuille elle-mme.

104

3.2.2

Propagation des r eactions

Le mod` ele de Markov etendu de la feuille AA en mode Actif Non-d etect e (cf. Table III.13) est une bonne illustration de la fa con dont une d etection est prise en compte en interne dune feuille et peut provoquer un changement local de mode, du mode Actif Non-d etect e au mode Actif D etect e. Ce basculement saccompagne dun changement de valeur du taux de succ` es, qui passe dune valeur S/ND a une nouvelle valeur S/D , re ` etant une r ealisation plus dicile, ou m eme impossible si S/D = 0, pour lattaquant une fois d etect e. Le m eme genre de m ecanisme est utilis e pour les autres feuilles. Ceci-dit, de tels changements de mode peuvent aussi etre provoqu es de fa con externe, cest-` a-dire par une d etection ayant eu lieu au niveau dune autre feuille. En fait, on peut distinguer les possibilit es suivantes : la d etection a une incidence strictement locale ; seule laction ou l ev enement d etect e est aect e, le reste du BDMP est inchang e, en particulier, les autres feuilles gardent leurs param` etres inchang es ; la d etection a une incidence etendue, changeant non seulement la feuille correspondant ` a laction ou l ev enement d etect e, mais egalement dautres feuilles du BDMP, de mani` ere s elective ; la d etection a une incidence globale ; en cas de d etection, tous les Di sont positionn es ` a 1, ce qui implique que tous les ev enements et actions futurs seront consid er es en mode D etect e, avec les param` etres modi es associ es. Nous adoptons cette derni` ere approche dans le reste de ce chapitre : elle est a ` la fois pertinente en termes de mod elisation s ecurit e, et directe en termes de formalisation et de mise en uvre.

3.3

Cas dapplication

Nous reprenons le cas dapplication de la Section 2.6.2 en le compl etant par des possibilit es de d etection et de r eaction. Deux actions et deux ev enements de s ecurit e instantan es sont susceptibles d etre d etect es, tandis que les changements provoqu es par une d etection sont re et es par des changements de param` etre dans ces quatre feuilles, ainsi que pour deux autres directement li ees. La Table III.16 pr esente ces di erents el ements. Table III.16 Param` etres utilis es pour la mod elisation des d etections et r eactions
Feuille Utilisateur pi eg e Bonne ex ecution de la charge Ouverture P.J. pi eg ee Mot de passe intercept e Reconnaissance physique Type ISE ISE TSE TSE AA Param` etres quand attaquant non-d etect e S/ND = 0, 33 S/ND = 0, 1 R/ND = (MTTS R/ND = (MTTS S/ND = (MTTS 1, 157 105 s1 1 jour) 1, 157 105 s1 1 jour) 5, 787 106 s1 2 jours) Param` etres de d etection D/R = 0 D/NR = 0, 5 D/R = 0, 1 D/NR = 0, 33 D etection impossible D etection impossible D(O) = 3, 858 106 s1 (MTTS 3 jours), D(I) , D(F) , D(A) = 0 D(O) = 3, 472 105 s1 (MTTS 8 heures), D(I) , D(A) = 0 D(F) = 0, 1 Param` etres quand d etect e (mode AD) Non pertinent S/D = 0, 1 (inchang e) R/D = 5, 787 106 s1 (MTTS 2 2 jours) R/D = 5, 787 106 s1 (MTTS 2 2 jours) S/D = 2, 893 106 s1 (MTTS 2 4 jours)

Installation locale du keylogger

AA

S/ND = 1, 157 105 s1 (MTTS 1 jour)

S/D = 5, 787 106 s1 (MTTS 2 2 jours)

3.3.1

Analyse g en erale

Globalement, la prise en compte des aspects de d etection et de r eaction, tels que param etr es selon la Table III.16, r eduit la probabilit e de succ` es pour lattaquant en une semaine denviron 14 %, passant de 0, 423 ` a 0, 364. Cette r eduction somme toute modeste peut etre expliqu ee par le fait que 105

la s equence pr epond erante, la simple attaque hors-ligne par force brute, nest pas sujette dans notre mod` ele au risque de d etection. En fait, m eme en consid erant les d etections syst ematiques et les r eactions parfaites (r ealisation de laction ou de l ev enement rendue impossible), lattaquant continuerait ` a avoir une probabilit e de 0, 2 de succ` es sur les seules chances de r eussite de lattaque par force brute. Du point de vue de lanalyse des s equences dattaque, leur nombre est bien plus elev e que dans le cas sans d etection (4321 vs 654 en Section 2.6.2) : cela sexplique par la prise en compte dans la description des s equences des ev enements de d etection et de r eaction. La Table III.17 donne une s election repr esentative ordonn ee par contribution. Elle reprend les conventions de notation introduites pr ec edemment pour la Table III.11 en Section 2.6.2, augment ees des indications de d etection mises entre parenth` eses. L` a encore, les deux premi` eres s equences correspondent au succ` es direct de techniques de social engineering , suivies par celui de lattaque par force brute. Dans le cas pr esent, ce trio de t ete est suivi par plusieurs s equences non minimales termin ees sur le succ` es dune attaque par force brute, avant que les premi` eres s equences correspondant au succ` es dun courriel pi eg e dune charge malveillante apparaissent (s equences no 14 et o n 17). Ceci di` ere de la Table III.11 o` u les s equences bas ees sur des approches physiques apparaissent en premier, alors quelles sont ici rel egu ees ` a la s equence no 20 et plus. Ceci est d u aux possibilit es de d etection et de r eaction associ ees ` a de telles s equences. Dans la s equence no 20, lattaquant echoue dans sa tentative de social engineering par courriel forg e et se fait d etecter : les valeurs des param` etres utilis ees dans les feuilles des etapes subs equentes sont donc celles des modes d etect es. Table III.17 S election de s equences avec quantication
S equence 1 2 3 4 ... 14 <Phase Social Eng.>Reconnaissance g en erique, Ex ecution du pi` ege par email, Utilisateur pi eg e <Phase Social Eng.>Reconnaissance g en erique, Ex ecution pi` ege t el., Utilisateur pi eg e Force brute <Phase Social Eng.>Reconnaissance g en erique, Force brute ([...], Force brute) 9 <Phase Social Eng.></Phase Social Eng.><Phase keylogger><Phase distante>Reconnaissance g en erique, Pr eparation de la charge, Bonne ex ecution de la charge (non d etect e), Mot de passe intercept e ([...], Force brute) 2 <Phase Social Eng.>Reconnaissance g en erique </Phase Social Eng.><Phase keylogger><Phase distante>Pr eparation de la charge, Bonne ex ecution de la charge (non d etect e), Mot de passe intercept e ([...], Force brute) 2 <Phase Social Eng.>Reconnaissance g en erique, Ex ec. du pi` ege par email, Utilisateur pi eg e ( echec et d etection) </Phase Social Eng.><Phase keylogger><Phase distante></Phase distante><Phase physique>Reconn. physique, Installation locale keylogger, Mot de passe intercept e Probabilit e (1 semaine) 1, 091 101 5, 456 102 2, 144 102 1, 055 102 2, 250 103 Dur ee moyenne (s) 9, 889 104 9, 889 104 5, 638 104 9, 889 104 2, 761 105 Contrib. 30, 0 % 15, 0 % 5, 9 % 2, 9 % 0, 6 %

... 17

1, 923 103

2, 688 105

0, 5 %

... 20

1, 549 103

5, 991 105

0, 4 %

3.3.2

Etude de sensibilit e

Comme en Section 2.6.2, lanalyse peut etre compl et ee par l etude de lincidence des di erents param` etres du mod` ele sur la probabilit e de r eussite globale de lattaque dans le temps de mission (not ee Ps ). En plus des param` etres de r eussite S et S des feuilles AA et ISE, ou de dur ee moyenne de r ealisation des feuilles TSE, lincidence des param` etres de d etection sur Ps peut aussi etre observ ee. ` titre dexemple, nous repr A esentons en Figure III.26 l evolution de Ps selon di erentes valeurs pour les param` etres de d etection de type I consid er es dans le mod` ele (cf. Table III.16). Les valeurs initialement choisies sont indiqu ees par des marqueurs blancs. Comme dans la Section 2.6.2, les calculs sont faits param` etre par param` etre ceteris paribus. Une approche permettant l etude des eets de l evolution de plusieurs param` etres ` a la fois constitue un axe dam elioration pour des travaux futurs. Globalement, lincidence des trois param` etres sur Ps est modeste, caract eris ee par la pente faible des courbes de la Figure III.26. La Figure III.27 repr esente les m eme donn ees sur un axe des ordonn ees plus resserr e. 106

Elle conrme une incidence plus marqu ee de la d etection des tentatives de social engineering (pi` ege t el ephonique ou par email ) sur Ps par rapport aux deux autres d etections. Une am elioration de ce param` etre correspondrait par exemple ` a une formation, une sensibilisation et une vigilance accrues des personnels de lorganisation attaqu ee. Elle est pr ef erable ` a une am elioration de m eme ordre de grandeur du temps de d etection de lex ecution dune charge malveillante. Dautres etudes param etriques peuvent etre men ees pour appuyer des d ecisions de s ecurit e` a ressources contraintes, ceci-dit, aucun ajustement ne remet en cause la pr epond erance de lattaque par force brute, evoqu ee en Section 3.3.1, dans la r eussite globale de lattaque.
1.0 Probabilit de succs de l'attaque (en une semaine) 0.9 Probabilit de dtection quand le pige tel/mail choue (D/NR) 0.8 Probabilit dtection quand charge excute (D/R) 0.7 Probabilit dtection quand charge defectueuse (D/NR) 0.6 0.5 0.4 0.3 0.2 0.1 0.0 0 0.1 0.2 0.3 0.4 0.5 Paramtres 0.6 0.7 0.8 0.9 1

Figure III.26 Une incidence modeste pour les param` etres de d etection de type I sur Ps

0.40
Probabilit de succs de l'attaque (en une semaine)

0.39
0.38

0.37 0.36 0.35 0.34 Probabilit de dtection quand le pige tel/mail choue (D/NR) 0.33 Probabilit dtection quand charge excute (D/R) 0.32 Probabilit dtection quand charge defectueuse (D/NR)
0.31

0.30 0 0.1 0.2 0.3 0.4 0.5 Paramtres 0.6 0.7 0.8 0.9 1

Figure III.27 Comparaison de lincidence des param` etres de d etection de type I sur Ps

107

ements de comparaison avec les autres formalismes El

An de mieux cerner lint er et des BDMP pour la mod elisation dattaques, nous revenons dans cette section aux cinq familles de formalismes analys ees en d ebut de chapitre, et discutons de leurs avantages et inconv enients respectifs par rapport aux BDMP, ainsi que de leur eventuelle compl ementarit e. Sur la base de cette comparaison, nous evaluons ensuite les BDMP selon les crit` eres de la Section 1, synth etisant leurs apports et limites vis-` a-vis des formalismes existants.

4.1

BDMP et arbres dattaque

Malgr e leur ressemblance visuelle et leur structure commune darbre logique, les BDMP et les arbres dattaque di` erent assez fondamentalement : les premiers sont un mod` ele dynamique alors que les seconds sont statiques. Si lon consid` ere le caract` ere eminemment dynamique de la s ecurit e (discut e en outre en II-1.2.3), ceci constitue un avantage majeur pour les BDMP. En particulier, les notions de phases et de s equences ne peuvent pas etre prises en compte par les arbres dattaque classiques, alors quelles font partie int egrante des sc enarios dattaque types ` a mod eliser. De plus, bien que certaines variantes darbres dattaque prennent en compte explicitement les aspects d efensifs (e.g. [318, 284]), elles le font l` a aussi de fa con statique et ne restituent pas la dimension temporelle des d etections et r eactions telles que discut ees dans la Section 3. Enn, si les BDMP permettent les traitements classiquement associ es aux arbres dattaque (calcul de co uts dattaque, s election des sc enarios par prol dattaquant, cf. Section 2.4.4), les quantications dordre temporel des BDMP ne peuvent pas etre eectu ees sur des arbres dattaque.

4.2

BDMP et misuse cases

Comme d ej` a mentionn e, les misuse cases correspondent ` a un formalisme tr` es macroscopique qui nest pas adapt e ` a la mod elisation d etaill ee de sc enarios dattaque. Les arbres dattaque et a fortiori les BDMP sav` erent plus appropri es pour cela. Les diagrammes de misuse cases permettent par contre de mieux comprendre les interactions entre utilisateurs l egitimes, syst` emes et attaquants, et sinscrivent dans une d emarche plus large de sp ecication de syst` eme. En fait, au m eme titre que Tndel et al. sugg` erent dans [378] une utilisation combin ee des arbres dattaque avec les misuse cases, ces derniers pourraient egalement sarticuler de fa con intelligible et pertinente avec des mod` eles BDMP. La r eciproque est valable : les BDMP constituent un formalisme a priori adapt e pour approfondir certaines parties dun diagramme de misuse cases.

4.3

BDMP et r eseaux bay esiens

Les r eseaux bay esiens etant un formalisme statique, les pr ec edentes consid erations sur limportance de la prise en compte de la dimension dynamique sont valables ici egalement. Il serait par contre r educteur de limiter ` a ces seuls aspects la comparaison entre BDMP et r eseaux bay esiens. Ces derniers permettent en eet une plus grande souplesse dans la mod elisation que les simples relations bool eennes oertes par les arbres dattaque, quils g en eralisent. Aussi, bien que les r eseaux bay esiens soient de nature statique, nous attribuerons aux BDMP une note equivalente sur ce plan. Notons que nous ne consid erons pas ici la variante dynamique des r eseaux bay esiens, son utilisation etant encore tr` es marginale en s ecurit e et sa lisibilit e encore plus limit ee que celle du formalisme statique. Sur ce plan, les r eseaux bay esiens comportent une quantit e importante dinformations non repr esent ees graphiquement, mais indispensables ` a la compr ehension du mod` ele (tables de probabilit es conditionnelles) et sont, ` a ce titre, moins directement lisibles que les BDMP. Ceci-dit, au-del` a de la simple comparaison, la collaboration des deux formalismes nous parait constituer une piste prometteuse. Il serait en eet avantageux de d enir les param` etres des feuilles des BDMP par lentremise de r eseaux bay esiens, permettant de collecter di erentes sources dinformations susceptibles de les inuencer. En outre, ces inuences pourraient inclure des consid erations decacit e de politiques s ecurit e ou de dispositifs de protection mis en place comme cela est fait dans les mod` eles de Sommestad et al. (Cf. II-2.3.5.2).

108

4.4

BDMP et DFT (Dynamic Fault Trees)

DFT et BDMP ont et e con cus sur une id ee g en erale similaire : allier un formalisme proche des arbres de d efaillances avec des capacit es de mod elisation dynamique. Alors que nous proposions dadapter les BDMP ` a la s ecurit e [480], Khand introduisait lemploi des DFT en s ecurit e [320]. Si les deux formalismes se ressemblent, ils pr esentent aussi plusieurs di erences notables, sur le fond comme sur la forme. Sur la forme tout dabord, la prise en compte de la dimension dynamique par les BDMP ne se manifeste principalement que par lajout dun composant ` a ceux employ es dans les arbres statiques, la g achette, alors que les DFT introduisent plusieurs portes sp eciques ` a cette n (Cf. Chapitre II Section 2.2.4). De plus, la s emantique des g achettes peut etre consid er ee comme plus intuitive que celles de ces portes suppl ementaires ; elle est en tout cas objectivement moins sujette ` a erreur, les portes des DFT rendant primordiales les positions respectives de leurs ls. Sur le fond et dun point de vue plus th eorique, la formalisation math ematique des BDMP est plus compl` ete et plus robuste (au sens donn e et justi e par les d enitions et propri et es math ematiques de la Section 2.2.3) que celle des DFT. En eet, comme soulign e par Coppit et al. dans [481], la description des DFT est incompl` ete th eoriquement, et am` ene ` a des repr esentations ambig ues ; de plus, la correspondance avec les processus de Markov nest pas d enie pour le cas g en eral (ces auteurs proposent dailleurs de rem edier partiellement ` a ces carences par une notation formelle en langage Z). De plus, la puissance de mod elisation des BDMP est sup erieure aux DFT : dans leur domaine dorigine, i.e. la s uret e de fonctionnement, les BDMP mod elisent sans dicult es syst` emes non-r eparables et r eparables, alors que les DFT sont tr` es limit es pour ce dernier type de syst` emes. La mod elisation des d efaillances de cause commune ou de certaines congurations de redondance constitue un autre point faible des DFT [482], auquel ne sont pas sujets les BDMP. En fait, comme montr e dans [483], les BDMP peuvent etre consid er es comme une g en eralisation des DFT. Enn dun point de vue traitement et quantication, les DFT ne b en ecient pas du m ecanisme de ltrage des ev enements pertinents et sourent de leurs carences th eoriques, rendant certaines congurations dicilement analysables.

4.5

BDMP et r eseaux de Petri

Les r eseaux de Petri constituent une famille de formalismes aux capacit es de mod elisation extr emement puissantes. Bien que les BDMP puissent couvrir un nombre important de situations, ils n egalent pas les r eseaux de Petri ` a cet egard. Les situations les plus caract eristiques sont celles impliquant des boucles : les BDMP y sont tr` es mal adapt es alors que les formalismes Petri les g` erent facilement. Ceci-dit, cette puissance de mod elisation va souvent de pair avec les dicult es dapprentissage et de lisibilit e evoqu ees en Section 1.2.5. La nature de ces derni` eres est tr` es d ependante du formalisme consid er e. Ainsi, en GSPN, la mod elisation de fonctions de structure equivalentes aux simples portes ET et OU des arbres dattaque et des BDMP implique lemploi darcs inhibiteurs et de multiples composants graphiques. Ces dicult es sont notamment mentionn ees dans [244] et illustr ees pour une porte ET dans la Figure III.28. La partie b) de la gure repr esente en GSPN la porte logique ET de la partie a) 12 .
a) b)
Z=X.Y

c)

Z=X.Y AND
T

Y
X Y X Y

Figure III.28 Mod elisation compar ee dun ET logique en BDMP et en r eseau de Petri
` noter que la comparaison est faite dans un cadre de s 12. A uret e de fonctionnement o` u les syst` emes sont consid er es comme r eparables, ce qui n ecessite les transitions lat erales de la partie b) de la gure.

109

Il est surprenant de constater que de nombreux papiers comparant arbres dattaque et mod elisations par r eseaux de Petri [330, 331, 321, 323, 289] font un raccourci pour le moins h atif en postulant l equivalence de la porte ET avec la structure repr esent ee dans la partie c) de la Figure III.28. En eet, le comportement mod elis e nest pas strictement equivalent : une fois la transition T tir ee, les places X et Y sont vides, comme si les etapes pr ec edentes n etaient plus r ealis ees. Ce nest pas le cas dune porte logique ET, pour laquelle les ls doivent rester dans un statut r ealis e pour que la sortie reste vraie. Une telle di erence pourrait para tre accessoire si elle navait pas des cons equences signicatives en termes de mod elisation, notamment pour des aspects de d etection. En outre, la d etection de type A (a posteriori ) de lextension des BDMP pr esent ee en Section 2 n ecessite un tel comportement pour etre mod elisable. A contrario, un formalisme comme les SAN mod eliserait sans dicult es particuli` eres, et de fa con tr` es compacte, les equivalents de portes ET et OU. En fait, et plus g en eralement, les SAN peuvent mod eliser de la sorte tous les composants des BDMP. Le probl` eme pos e est en fait ` a loppos e des GSPN : les repr esentations graphiques en SAN int` egrent un grand nombre dinformation dans les descriptions, non repr esent ees graphiquement, des activit es, portes dentr ee et portes de sortie, el ements caract eristiques de ce formalisme. Dans les mod` eles SAN, des composants graphiquement identiques peuvent avoir des comportements tr` es divers, leurs sp ecications etant eectu ees composant par composant. En fait, quels que soient les formalismes Petri consid er es, la lisibilit e des mod elisations alors n ecessaires pour obtenir des equivalents aux mod` eles BDMP reste tr` es limit ee. Enn, dun point de vue traitement, si les r eseaux de Petri b en ecient de nombreux outils et techniques, ils ne peuvent sappuyer de fa con native sur les m ecanismes de ltrage des ev enements pertinents des BDMP, qui limitent le risque dexplosion combinatoire lors des traitements.

4.6

Synth` ese sur les formalismes de mod elisation graphique dattaque

Les commentaires pr ec edents nous permettent de mieux evaluer lapport des BDMP par rapport ` a l etat de lart, et de les caract eriser vis-` a-vis des cinq crit` eres propos es en Section 1. La Table III.18 pr esente cette evaluation. Table III.18 Appr eciation des BDMP pour la mod elisation graphique dattaque
Crit` ere Facilit e dapprentissage Note 3 Commentaires Le visuel des BDMP est proche de celui des arbres dattaque, mais lint egration de la dimension dynamique demande quelques eorts. Le m ecanisme des g achettes reste cependant intuitif. La compr ehension en profondeur de la th eorie sous jacente nest pas n ecessaire ` a la construction de petits mod` eles. La prise en compte des d etections et des r eactions peut etre faite progressivement. Les BDMP h eritent de la lisibilit e des arbres dattaque. Lajout des g achettes constitue le changement graphique principal. D ependances, s equences et r eactions sont facilement mod elisables. La principale limite tient dans la dicult e` a mod eliser des comportements en boucle. De par leur caract` ere hybride, les BDMP permettent de cumuler les techniques de quantication bool eennes propres aux arbres dattaque avec les techniques et outils de lanalyse markovienne pour les quantications temporelles (cf. Section 6.3.1 si lon sort du cadre markovien). Le m ecanisme de ltrage des ev enements pertinents r eduit les eventuels probl` emes dexplosion combinatoire. Comme pour les arbres dattaque, la nature hi erarchique du mod` ele, mais egalement la possibilit e de raisonner en patterns (cf. Section 6.3.3), permettent de traiter des sc enarios dattaque complexes sur des syst` emes r ealistes.

Lisibilit e Puissance de mod elisation Capacit e de quantication

4 3 4

Capacit e de passage ` a l echelle

Nous rappelons dans la Table III.19 les evaluations eectu ees en Section 1 et y int egrons lappr eciation des BDMP, permettant ainsi de mieux appr ehender la teneur de notre contribution. Soulignons que ces formalismes ne sont pas n ecessairement en comp etition. Dune part, certains peuvent faire directement appel ` a dautres (par exemple, les misuse cases peuvent sappuyer sur des arbres dattaque ; les BDMP peuvent int egrer des r eseaux de Petri), dautre part, une m eme analyse de risques peut employer di erents formalismes selon le syst` eme ou la phase de lanalyse consid er es. En fait, les trois formalismes les plus proches, et a fortiori, les plus rivaux sont les arbres dattaque, les DFT et les BDMP. Les Sections 4.1 et 4.4 regroupent des arguments tendant ` a d emontrer que les BDMP constituent lapproche la plus satisfaisante. De telles conclusions ne peuvent etre faites aussi 110

distinctement vis-` a-vis des autres formalismes consid er es, pour les raisons de compl ementarit e et de d ependance du contexte pr ec edemment evoqu ees. Table III.19 Evaluation compar ee des formalismes de mod elisation graphique dattaque
Formalisme Crit` ere Facilit e dapprentissage Lisibilit e Puissance de mod elisation Capacit e de quantication Capacit e de passage ` a l echelle Arbres dattaque 4 4 2 4 3 Mod` eles ` a base de r eseaux bay esiens 2 2 3 3 2 Misuse cases 3 2 1 1 2 DFT 3 3 3 2 3 Mod` eles ` a base de r eseaux de Petri 2 2 4 4 2 BDMP pour la s ecurit e 3 4 3 4 3

5
5.1
5.1.1

Mise en uvre logicielle

Support : la plate-forme logicielle KB3
KB3, bases de connaissances Figaro et outils associ es

KB3 d esigne la plate-forme logicielle utilis ee et d evelopp ee par EDF depuis une vingtaine dann ees pour ses etudes de s uret e de fonctionnement [243]. Elle permet la construction de mod` eles statiques ou dynamiques vari es par assemblage graphique de composants el ementaires d ecrits dans des bases de connaissances [484]. Ces composants peuvent etre abstraits (portes logiques, liens, etc.), pour la saisie de mod` eles conceptuels, ou repr esenter des el ements plus concrets (vannes, moteurs, interrupteurs, etc.) pour saisir des sch emas plus directement associ es aux syst` emes etudi es. Lobjectif est de permettre la modularit e, mais aussi la capitalisation et la r eutilisation des connaissances des experts. Les descriptions sont ecrites en Figaro [239], un langage objet sp eciquement con cu pour construire des mod` eles stochastiques par saisie graphique (cf. Chap. II Section 2.2.5). Les BDMP, mais egalement une grande partie des mod` eles graphiques pr esent es au Chapitre II Section 2.2, ont fait lobjet du d eveloppement de bases de connaissances correspondantes [485]. En plus dune construction facile par linterface graphique de KB3 [486], elles permettent un traitement homog` ene par les m emes codes de calcul, analysant les mod` eles g en er es en langage Figaro. En eet, une fois les mod` eles construits par KB3 , ils peuvent etre quanti es selon di erentes m ethodes et leurs outils associ es : YAMS permet de les traiter par simulation de Monte-Carlo [487] et FIGMAT-SF sappuie sur une r esolution matricielle [488], mais Figseq reste loutil privil egi e. Il met en uvre la m ethode dexploration de chemins pr esent ee dans la Section 2.4.2, et sur laquelle nous revenons dun point de vue algorithmique dans le paragraphe suivant. La Figure III.29 donne une repr esentation macroscopique de la plate-forme KB3 . 5.1.2 Figseq et les algorithmes dexploration de chemins

Figseq met en uvre les techniques de quantication de mod` eles markoviens par exploration de chemins, d evelopp ees et largement utilis ees ` a EDF dans les etudes de s uret e de fonctionnement [176]. Le principe g en eral consiste ` a ne pas construire le graphe de Markov du mod` ele etudi e dans son ensemble, pour eviter les probl` emes dexplosion combinatoire, mais de lexplorer de proche en proche. Un parcours exhaustif reste possible, mais les grands mod` eles peuvent b en ecier dapproximations ma tris ees, en limitant lexploration du graphe sur des crit` eres de profondeur ou de seuil de probabilit e. Lapplication de ce principe peut se faire selon deux algorithmes, am elior es par diverses optimisations et heuristiques au l de leur utilisation industrielle. Le premier, dit SN pour S equences Normales, est r eserv e aux syst` emes non-r eparables ou dont le temps de mission est au plus de lordre de grandeur du temps de s ejour dans l etat initial. La quantication de nos mod` eles en s ecurit e a et e faite par cette approche. La probabilit e de l ev enement redout e` a linstant t correspond ` a la somme des probabilit es de r ealisation des s equences explor ees y menant avant linstant t. Le principe du calcul de la probabilit e dune s equence a et e donn e en Section 2.4.2. 111

YAMS (simulation de Monte-Carlo)

Modle Figaro (textuel) Bases de connaissances (dont BDMP)

Figseq (exploration de squences)

Rsultats qualitatifs et quantitatifs : - liste de squences ordonnes - probabilits de succs - temps moyens - ...

FigMAT-SF (traitement matriciel)

Figure III.29 La plate-forme KB3 et ses codes de calcul

Le second algorithme mis en uvre par Figseq se nomme SRI, pour Sans Retour ` a l etat Initial ; il est r eserv e aux syst` emes compl` etement et rapidement r eparables. Il ne correspondait pas aux caract eristiques de nos mod` eles et na donc pas et e utilis e dans le cadre de nos travaux. Le lecteur pourra se r ef erer ` a louvrage de Bouissou pour une explication didactique de son principe [176], ou aux articles de r ef erence ayant jalonn e son evolution [489, 490, 470].

5.2
5.2.1

R ealisations
Une base de connaissances s ecurit e

Avec laide de Yann Deesselle, nous avons sp eci e et d evelopp e une base de connaissances mettant en uvre les principes expos es en Sections 2 et 3. En outre, les feuilles d ecrites par les mod` eles de Markov des Tables III.13, III.14 et III.15 ont pu etre r ealis ees en Figaro, et int egr ees avec les portes et liens n ecessaires ` a la construction de mod` eles complets. En plus des feuilles sp eciques ` a la mod elisation s ecurit e (AA, TSE et ISE), tous les el ements de la base de connaissances des BDMP classiques restent utilisables dans la construction des mod` eles s ecurit e : en outre, il est possible de sp ecier des feuilles Petri par GSPN, et dutiliser, en plus des portes AND et OR, des portes k/n et des portes PAND 13 (appel ees alors portes THEN ). La documentation de la base de connaissances historique d ecrit pr ecis ement tous ces composants [485]. Pour le d eveloppement de la base de connaissances s ecurit e, nous nous sommes appuy es sur loutil Visual Figaro, logiciel d edi e` a laide au d eveloppement de base de connaissances [491]. Le r esultat est compl` etement op erationnel et b en ecie de toutes les facilit es et outils de traitement de la plate-forme KB3 . 5.2.2 Outils daide ` a lanalyse

Les etudes de sensibilit e des Sections 2.6.2 et 3.3.2 ont et e r ealis ees gr ace ` a un script ecrit en Python it erant ` a volont e des traitements du mod` ele consid er e par Figseq . Egalement d evelopp e avec lappui de Yann Deesselle, il permet de saisir facilement les param` etres ` a etudier, les valeurs minimales et maximales, et les pas dincr ementation ` a appliquer aux param` etres choisis pour l etude. Il constitue une base qui a encore vocation ` a s etoer en fonctionnalit e et en profondeur danalyse via des d eveloppements ult erieurs (cf. Section 6.3).
13. Priority AND (PAND), porte v eri ee si et seulement si tous ses ls se r ealisent dans un ordre d etermin e.

112

6
6.1
6.1.1

Discussion, limites et perspectives

Mod elisation stochastique des attaques
Pertinence du cadre markovien et des lois exponentielles

Les BDMP, comme leur d esignation compl` ete lindique, sont ` a lorigine bas es sur lemploi de processus de Markov et les distributions de probabilit es exponentielles associ ees. Ce cadre markovien est n ecessaire pour la d emonstration des propri et es math ematiques expos ees en Section 2.2.3, permettant en outre dassurer quun BDMP d ecrit dans tous les cas un processus de Markov homog` ene. En particulier, lutilisation des techniques de quantication bas ees sur lexploration de chemins pr esent ees en Section 2.4.2 ne peut se faire qu` a cette condition. Etant donn e les propri et es ` a la fois simples et puissantes des processus de Markov, ils sont en fait commun ement adopt es en s uret e de fonctionnement (cf. Chapitre II Section 2.2.4), o` u les ev enements etudi es se pr etent, sous certaines conditions bien identi ees, ` a ce type de mod elisation [188]. Aussi, ce choix navait rien de surprenant lors de la conception des BDMP, issus de cette communaut e, et correspond toujours ` a l etat de lart dans le domaine. Ceci-dit, il semble l egitime de sinterroger quant ` a la pertinence de ces hypoth` eses dans une utilisation en s ecurit e. Premier constat, lutilisation de lois exponentielles pour mod eliser les temps ou les eorts n ecessaires aux attaquants pour r ealiser leurs actions est relativement commune dans la litt erature acad emique d edi ee ` a la mod elisation des processus dattaque. Lid ee dutiliser des distributions exponentielles en s ecurit e semble avoir et e introduite par Littlewood et al. en 1993 [177]. En 1994, le travail de Dacier sur les graphes de privil` eges [257], evoqu es en d ebut de chapitre, repose egalement sur les techniques de lanalyse markovienne, et sur la mod elisation par lois exponentielles des etapes dune attaque, associ ees aux transitions dun r eseau de Petri stochastique sous-jacent. Le tout permet de calculer MTTF et METF (Mean Eort To Failure ) globaux. Il faut attendre Jonsson et Olovsson en 1997 [475] pour voir une etude exp erimentale conforter, sous certaines conditions, la mod elisation par loi exponentielle dun processus dattaque. Celui-ci y est d ecompos e en trois phases : apprentissage, plus ou moins long selon la comp etence de lattaquant, phase standard, o` u les techniques classiques et les vuln erabilit es connues sont explor ees, et phase dinnovation, o` u lattaquant, ayant fait le tour des approches standard, doit innover pour r eussir lattaque. Les r esultats exp erimentaux montrent que le temps moyen dintrusion, appel e Mean Time To Breach, ou MTTB en r ef erence au MTTF abiliste, peut etre d` element approch e par une loi exponentielle pendant la phase standard. Depuis, une telle approximation a et e adopt ee ` a de nombreuses reprises. On peut citer Ortalo et al. [492], qui reprennent en 1999 le mod` ele de Dacier dans une exp erimentation conrmant certaines hypoth` eses du mod` ele, mais aussi Gupta et al. dans leur comparaison darchitectures tol erantes aux intrusions bas ee sur des SAN ` a transitions exponentielles [326] (2003), ou encore plus r ecemment, les travaux de th` ese de Sallhammar, qui mod elise la progression de lattaquant par un graphe de Markov dont les taux de transition sont pond er es par des calculs typiques de la th eorie de jeux [476]. De plus, tous les mod` eles de s ecurit e` a base de GSPN impliquent des transitions instantan ees et exponentielles : Ten et al. mod elisent ainsi lattaque de mots de passe et le passage dun coupe-feu avec ce type de lois dans [324]. Si les travaux de Jonsson et Olovsson ont certainement contribu e` a la popularit e des lois exponentielles pour la mod elisation des eorts de lattaquant, il faut aussi y associer un int er et strictement pratique et math ematique. En eet, dans ce cadre th eorique, tous les outils et techniques d evelopp es en s uret e de fonctionnement pour lanalyse markovienne peuvent sappliquer (cf. Chap. II, Section 2.2.4). De plus, comme soulign e par Dacier [257], les lois exponentielles sont tr` es avantageuses pour formaliser lhypoth` ese sous-jacente a ` nos raisonnements, ` a savoir que lon peut estimer un temps moyen n ecessaire ` a lattaquant pour r ealiser une action donn ee. En eet, mod eliser une telle dur ee par une loi exponentielle revient ` a d enir la probabilit e de succ` es avant un temps t par P r(t) = 1 et . Dune part, le param` etre sut ` a d enir compl` etement la distribution de probabilit e quel que soit t, dautre part, sa valeur inverse 1/ correspond au temps moyen de r eussite, valeur estim ee par lanalyste. On remarquera quune telle d enition implique dune part que la probabilit e de r eussite est nulle ` a t = 0, et quelle tend vers un ` a linni : on consid` ere que lattaquant peut toujours r eussir une action mod elis ee par une feuille AA, mais que cette r eussite n ecessite un temps plus ou moins long. Elle peut le cas ech eant tendre vers linni (cest le cas quand on indique, de fa con abusive, = 0). De plus, une des propri et es principales des distributions exponentielles est leur comportement sansm emoire , fondement m eme des techniques danalyse de Markov. Elle signie dans notre cadre que les param` etres , i.e. les taux de succ` es et de d etection, restent constants dans le temps, ou plus concr` etement, 113

quils n evoluent pas en fonction du moment o` u laction est consid er ee. Sil sagit bien evidemment dune simplication de la r ealit e, une telle hypoth` ese peut se justier quand les techniques employ ees et/ou les composants attaqu es di` erent selon les feuilles consid er ees. Cela est globalement le cas des exemples propos es en Sections 2.6.1 et 2.6.2. 6.1.2 Autres lois et mod elisations du comportement de lattaquant

Dautres mod elisations stochastiques des attaques ont et e propos ees dans la litt erature, se d ebarrassant de la propri et e sans m emoire des lois exponentielles, mais introduisant de la complexit e dans le formalisme et dans le traitement des mod` eles. Ainsi, Madan et al. d eveloppent un cadre semi-markovien, orant divers types de distribution pour mod eliser leort de lattaquant [493]. Ils sugg` erent de consid erer des lois hypo-exponentielles pour mod eliser des taux de succ` es croissant de fa con monotone avec le temps, des lois hyper-exponentielles pour des taux d ecroissant de fa con monotone, ou des lois de Weibull permettant selon le choix de leurs param` etres de mod eliser des taux constants, croissant, ou d ecroissant au l du temps. Les distributions gamma et log-logistiques sont egalement mentionn ees. McQueen et al. mod elisent quant ` a eux le temps n ecessaire ` a lattaquant pour gagner de nouveaux privil` eges par la combinaison de trois processus stochastiques distincts [494]. Ces trois processus sont param etr es selon la connaissance estim ee des vuln erabilit es et des techniques dexploitation par lattaquant, et sont bas es respectivement sur une loi gamma, une loi b eta, et une loi exponentielle. Ce mod` ele est repris et l eg` erement modi e par Byres et Leversage dans [337, 338]. Alternativement ` a lutilisation de lois de probabilit es issues des approches classiques de s uret e de fonctionnement, il existe de nombreux travaux egalement bas es sur lemploi de probabilit es, mais d etermin ees par le biais de la th eorie des jeux. Utilis ee d` es sa naissance apr` es la seconde guerre mondiale dans le domaine de la strat egie militaire [495], la th eorie des jeux a rapidement trouv e sa place dans la mod elisation de la malveillance en g en eral, et appliqu ee aux probl ematiques de terrorisme en particulier (cf. Sandler et al. pour un panorama [496]). La protection des infrastructures critiques, dont les r eseaux electriques, a ainsi et e mod elis ee sous cet angle dans de nombreux travaux (e.g. [497]). Roy et al. donnent une taxonomie et un etat de lart de lutilisation de la th eorie des jeux en s ecurit e informatique dans [498]. Anderson et al. la situent dans le cadre plus large de lemploi des approches economiques en s ecurit e informatique dans [260]. Globalement, nous rejoignons lavis emis par Bier [499] : la mod elisation de la malveillance sappuiera avantageusement sur une combinaison de techniques issues de la s uret e de fonctionnement, pour leur capacit e ` a mod eliser des situations complexes, et doutils issus de la th eorie des jeux, pour prendre en compte lattitude interactive de lattaquant. Cest notamment ce que proposent Sallhammar [476], Bistarelli [314] ou encore Buldas et al. [311]. Lint egration de techniques de la th eorie des jeux est une des pistes privil egi ees pour de futurs d eveloppements de nos travaux (cf. Section 6.3.5). Enn, on peut noter l emergence dapproches quantitatives de la s ecurit e appuy ees sur la th eorie de lautomatisme et du contr ole. On pourra se reporter pour des exemples ` a [500, 501]. 6.1.3 Time to compromise et temps du compromis

Malgr e les mod` eles alternatifs pr ec edemment cit es, nous avons choisi de conserver dans nos travaux dadaptation et dextension des BDMP une mod elisation stochastique markovienne. Les raisons principales ont d ej` a et e cit ees en Section 6.1.1 : mise ` a prot des propri et es math ematiques du formalisme original, utilisation des outils de traitement des mod` eles markoviens, mais aussi coh erence avec l etat de lart et ad equation des lois exponentielles avec la pratique destimation de temps moyens n ecessaires ` a la r ealisation des actions dun attaquant. Malgr e les hypoth` eses et limites associ ees ` a la propri et e sans m emoire, ce choix nous a paru constituer un compromis pertinent. Notons quil peut cependant etre remis en question avec un impact limit e sur le formalisme, mais plus profond sur les propri et es math ematiques et les techniques de quantication comme nous l evoquerons en Section 6.3.1. En fait, une fois cette hypoth` ese assum ee, lessentiel du d ebat porte ensuite sur la validit e du param etrage des feuilles : en eet, quand les estimations sont faites, les quantications produites par les BDMP sont m ecaniques et math ematiquement correctes. Elles portent le sens et la cr edibilit e que lon voudra bien accorder aux valeurs choisies pour les param` etres du mod` ele. Nous rejoignons alors un d ebat plus large sur la pertinence dutiliser la notion de probabilit e en s ecurit e, d ej` a evoqu e en outre en II-1.2.4. Dans une vision subjectiviste assum ee, les probabilit es restent ` a notre sens un outil adapt e pour formaliser lincertitude, inh erente ` a la notion de risque et caract eristique de la mod elisation du comportement dun attaquant. Dun point m ethodologique, l evaluation de probabilit es doccurrence, au 114

sens g en eral, est une etape indispensable dune analyse de risques (cf. Chap. II Section 1.1.1) ; toutefois, lemploi dune mod elisation stochastique et dun mod` ele graphique formel comme les BDMP doit y etre consid er e` a sa juste place. Cette place est celle dun outil de formalisation et daide ` a lanalyse, intrins` equement limit e par la nature m eme de la menace ` a caract eriser, cependant mieux appr ehend ee de fa con m ethodique et outill ee que par raisonnements informels et intuitions strictement qualitatives.

6.2

Limites intrins` eques des BDMP

Ind ependamment des limites et d ebats associ es ` a la mod elisation stochastique de la s ecurit e, le formalisme des BDMP a, comme tout mod` ele, ses propres limites. Nous listons ici les principales, bien caract eris ees dans leurs applications en s uret e de fonctionnement, et que nous commentons vis-` a-vis de leurs implications en mod elisation s ecurit e: dans leur utilisation dorigine, les BDMP sont peu adapt es aux syst` emes dont les el ements sont en mouvement, cr e es ou d etruits dans le temps de mission consid er e. On peut donner comme exemple la mod elisation de les dattente, ou plus concr` etement dans le domaine des installations industrielles, dune cha ne de montage. En dautres termes, si les BDMP sont un formalisme dynamique, le syst` eme ` a mod eliser doit avoir une architecture pr ed etermin ee [176]. En termes de mod elisation dattaques, les alternatives oertes ` a lattaquant doivent etre x ees ` a lavance par lanalyste ; les notions de boucles et de cycles ne peuvent etre prises en compte que de fa con limit ee, sous peine de perdre grandement en lisibilit e. En particulier, loutil KB3 autorise lint egration de r eseaux de Petri (de type GSPN), d enissables au gr e de lutilisateur sous forme de feuilles particuli` eres. Cependant, leur emploi exag er e rend le BDMP moins lisible de par les comportements sp eciques, et eventuellement complexes, de chaque feuille. De fa con moins p enalisante pour la lisibilit e mais plus limit ee, les feuilles phases pr esent ees en Section 2.3.2 peuvent etre cha n ees de fa con cyclique ; le cadre th eorique, et les propri et es math ematiques pr ecis ees en Section 2.2, ne sont valables que pour des syst` emes coh erents : en dautres termes, la fonction de structure qui lie l ev enement redout e (ou objectif de lattaquant dans notre contexte) aux bool eens Si doit etre monotone. Dans une approche abiliste, un syst` eme coh erent correspond au fait quune d efaillance ne peut pas r eparer le syst` eme, et r etablir la fonction quil est charg e dassurer. Dans notre contexte, cette contrainte impose une mod elisation des sc enarios dattaque sans portes NON, cons equence directe de lexigence de monotonie de la fonction de structure. Les di erents cas dapplication et mod elisations eectu ees nont pas n ecessit e lintroduction dune telle porte, lexclusion des alternatives une fois une action r eussie etant assur ee par le m ecanisme de ltrage des ev enements pertinents. De plus, il est possible dam enager le comportement des g achettes sans sortir du cadre th eorique pour prendre en compte certains cas particuliers ; malgr e le m ecanisme de ltrage des ev enements pertinents et les techniques dexploration des chemins, la taille des mod` eles a aussi ses limites. Un mod` ele comportant un nombre trop important de portes et d ev enements de base sera dicilement quanti e par m ethode analytique, mais pourra eventuellement etre trait e par simulation de Monte-Carlo. Il est d elicat de caract eriser pr ecis ement un tel seuil, eminemment d ependant de la structure de larbre, mais aussi des valeurs des param` etres. Par exemple, les BDMP comportant de nombreuses portes k/n avec des probabilit es equitablement r eparties (cas des syst` emes tr` es redondants en abilit e) sont identi es comme probl ematiques. En fait, bien que ce chire nait aucune justication th eorique, le retour dexp erience de lutilisation des BDMP dans les etudes de s uret e de fonctionnement ` a EDF indique quil ny a pas ou peu de probl` emes ` a quantier des BDMP comportant moins dune cinquantaine de feuilles. Au dessus, la structure, et en particulier les eventuelles sym etries, peuvent consid erablement inuencer les performances de traitement. Le retour dexp erience dans leur utilisation en s ecurit e nest ` a ce jour pas susant pour y conrmer la validit e de ces constats, mais la nature des adaptations eectu ees sur le plan th eorique nous conduit ` a penser quils sont transposables. Lordre de grandeur indiqu e pour la taille des mod` eles quantiables sans dicult e donne une marge de manuvre confortable pour la mod elisation de sc enarios dattaque au regard de la pratique courante, et de l etat de lart des autres formalismes.

115

6.3
6.3.1

Perspectives
Vers les BDSP ?

Nous avons evoqu e le cadre markovien des BDMP et mentionn e lexistence dautres mod elisations stochastiques pour les attaques dans la Section 6.1. En fait, une grande partie du formalisme des BDMP pourrait etre etendue pour autoriser lutilisation dautres types de processus stochastiques que les seuls processus de Markov. Le formalisme graphique dune telle extension, dont les g achettes, resterait globalement inchang e ; la notion de processus pilot e pourrait facilement etre g en eralis ee et larticulation de la dynamique des mod` eles par les familles de fonctions bool eennes du temps (Si , Xi , Yi et Di ) resterait valable. En fait, deux aspects seraient principalement touch es. Pour commencer, il serait d elicat de conserver la m eme d esignation... Les BDMP pourraient alors etre renomm es BDSP, pour Boolean logic Driven Stochastic Processes, elargissant explicitement le p erim` etre de la mod elisation. Plus substantiellement, le second aspect concerne la quantication : les techniques de quantication par exploration de chemins, et plus g en eralement celles employ ees pour les mod` eles markoviens, devraient etre remplac ees par des simulations de Monte-Carlo. Notons que loutil KB3 sinterface d ej` a nativement avec un outil de simulation de Monte-Carlo (cf. Section 5.1). Nous pr evoyons de d evelopper et de tester une version BDSP de la base de connaissances evoqu ee en Section 5.2.1 prochainement, orant la possibilit e dutiliser notamment la mod elisation stochastique de McQueen et al. [494] (cf. Section 6.1.2). 6.3.2 Mise ` a prot du bool een de d etection pour les quantications

Lintroduction dun bool een de d etection Di a permis dint egrer les aspects de d etection et de r eaction aux mod elisations dattaques par les BDMP. Cette prise en compte inuence directement les valeurs globales comme le MTTS ou la probabilit e de succ` es pour lattaquant, tel quillustr e dans le cas dapplication de la Section 3.3. Elle modie egalement qualitativement et quantitativement la liste de s equences produite par lanalyse dun mod` ele. En compl ement, de nouveaux indicateurs pourraient etre d enis et calcul es facilement sur la base du bool een Di . En particulier, il serait int eressant dajouter aux quantications globales le temps moyen de d etection, i.e. le MTTD (Mean Time To Detect ) et la probabilit e d etre d etect e dans le temps de mission consid er e. Ces valeurs pourraient egalement etre calcul ees pour chaque s equence identi ee. La hi erarchisation des s equences se ferait ensuite non pas uniquement sur des crit` eres de probabilit e de succ` es, mais egalement sur les chances de d etection, selon un prol dattaquant a d ` eterminer en fonction de son aversion ` a la d etection. Diverses pond erations sont alors imaginables. 6.3.3 Constitution dune biblioth` eque dattaques

La construction de mod` eles au cours de ces travaux de th` ese nous a conduit ` a identier de fa con informelle des motifs r ecurrents dans les sc enarios dattaque. Une identication plus rigoureuse et une cat egorisation de ces motifs pourraient aboutir ` a l elaboration dune biblioth` eque de petits BDMP, mod elisant des etapes ou des techniques dattaque r ecurrentes. Elle eviterait ` a lutilisateur de les ressaisir compl` etement et permettrait leur assemblage pour la construction de mod` eles complets. Lid ee, d ej` a propos ee et mise en uvre dans le cadre des arbres dattaque, pourrait b en ecier des formalisations et du retour dexp erience issus de ces mod` eles. 6.3.4 Int egration dextensions propos ees pour les arbres dattaque

De nombreuses extensions apport ees aux arbres dattaque, telles que celles discut ees au Chapitre II Section 2.3.5.1, pourraient etre transpos ees avantageusement aux BDMP. Cest le cas par exemple de la m ethode de J urgenson et Willemson [312] pour rationaliser les choix de lattaquant en fonction des risques et des prots quil per coit. La prise en compte des incertitudes sur le param etrage des feuilles de larbre par lapproche propos ee par ces m emes auteurs dans [313] pourrait aussi pr esenter de lint er et. On peut egalement mentionner lintroduction de portes OWA (Ordered Weighted Averaging ) d ecrites par Yager [315] : ces portes g en eralisent les portes OU et ET par des portes k/n sp eciques dont le nombre de ls devant etre v eri e pour leur r ealisation est mod elis e en logique oue. Plus g en eralement, lutilisation de quanticateurs ous pour le param etrage de feuilles est une piste int eressante : une litt erature abondante existe sur lemploi de nombres ous dans les arbres de d efaillances classiques depuis les travaux de Tanaka et al. [502], puis de Singer [503]. Ladaptation ` a un mod` ele dynamique n ecessiterait cependant un travail th eorique que nous navons pas estim e. 116

6.3.5

Th eorie des jeux

Comme indiqu e en Section 6.1.2, Bier souligne la pertinence de combiner m ethodes issues de la s uret e de fonctionnement et de la th eorie des jeux pour la mod elisation s ecurit e [499]. Sallhammar concr etise cette id ee et mod elise lavanc ee de lattaque par un processus de Markov dont les transitions sont pond er ees par des probabilit es calcul ees par des jeux stochastiques [476]. Dautres contributions combinent arbres dattaque et th eorie des jeux [311, 318]. Ce type dassociation pourrait etre egalement mis ` a prot avec les BDMP, notamment dans la d etermination des valeurs des di erents param` etres et . 6.3.6 Int egration avec dautres formalismes graphiques

Dans la Section 4, nous avons indiqu e deux pistes prometteuses dint egration des BDMP avec dautres formalismes de mod elisation dattaque. Le premi` ere concerne une utilisation conjugu ee avec les diagrammes de misuse case , la seconde avec les r eseaux bay esiens. Nous navons pas identi e a priori dobstacles th eoriques aux rapprochements de ces approches ` a forte compl ementarit e, et projetons de les initier prochainement. 6.3.7 Etude de sensibilit e et outils daide ` a lanalyse

Nous avons rapidement pr esent e un outil daide ` a lanalyse s ecurit e en Section 5.2.2, employ e pour les analyses des Sections 2.6.2 et 3.3.2. Il permet de mener sous forme graphique des etudes de sensibilit e des feuilles du BDMP, an de faciliter les d ecisions de s ecurit e pour am eliorer la protection du syst` eme attaqu e. Cependant, lapproche mise en uvre correspond ` a une fa con partielle et informelle daborder la probl ematique de l etude de sensibilit e des mod` eles dynamiques, qui reste un probl` eme de recherche ouvert. En eet, si les mod` eles statiques b en ecient de la d enition de facteurs dimportance 14 bien etablis [188, 224], ce nest pas le cas des mod` eles dynamiques. Toutefois, l etat de lart en la mati` ere nest pas vierge : on peut notamment citer les travaux de Dugan et Ou [504], ceux de Cao et al. [505], ceux de Natvig [506] ou ceux plus r ecents de Do et al. [507, 508, 509]. Ces derniers donnent, en fran cais, une bonne introduction au probl` eme et aux grandes familles dapproches associ ees dans [510]. Il serait int eressant d evaluer leur pertinence dans le cadre de nos mod` eles, et de calculer des facteurs dimportance aidant lanalyste dans ses optimisations de s ecurit e. Par ailleurs, lapproche graphique adopt ee dans les Sections 2.6.2 et 3.3.2 ne prend en compte que des variations de valeur param` etre par param` etre. Elle ne permet pas de consid erer des optimisations impliquant des ajustements coordonn es de plusieurs valeurs : des techniques danalyse plus elabor ees devront pour cela etre mises en uvre. Nous pr evoyons daborder ces d eveloppements dans de prochains travaux. En plus des etudes de sensibilit e, une autre piste ` a poursuivre dans ce type daide ` a lanalyse consiste a am ` eliorer la restitution des s equences dattaque fournies par Figseq . Nous avons d ej` a mentionn e la possibilit e de prendre en compte des attributs de nature statique tels que le co ut, ou d eventuelles exigences en termes doutillage, dappui interne ou de comp etence (cf. Section 2.4.4 pour une discussion compl` ete ` a ce sujet). La hi erarchisation des s equences dattaque selon ces crit` eres peut se faire de multiples fa cons : nous lavons mise en uvre par un simple m ecanisme de seuil, mais des approches plus avanc ees de type pond eration semblent tout ` a fait envisageables. Ces r eexions rejoignent ainsi les extensions possibles quant ` a lint egration des notions de risque dans les param` etres des feuilles et vis-` a-vis des choix rationnels de lattaquant, evoqu ees dans les sections pr ec edentes. Enn, les analyses de s equences donn ees en Sections 2.6.2 et 3.3 ont d ej` a soulign e lint er et de consid erer les contributions des s equences dites minimales : lautomatisation du calcul de ces contributions reste ` a mener. Pour cela, nous comptons nous appuyer sur les travaux de Bouissou sur les notions de contenu minimal des s equences [511]. 6.3.8 Application ` a dautres domaines

Ladaptation des BDMP pr esent ee dans ce chapitre a et e en premier lieu eectu ee pour une utilisation en s ecurit e informatique. Les di erents cas dusage de ce m emoire rel` event ainsi tous de ce contexte. Cependant, au m eme titre que pour les arbres dattaque, lemploi des BDMP en s ecurit e peut etre consid er e dans une perspective plus large, et concerner dautres domaines que la seule s ecurit e informatique. En
14. Les facteurs dimportance caract erisent la contribution dun composant ` a loccurrence de l ev enement redout e.

117

fait, partout o` u les arbres dattaque ont et e mis en uvre, les BDMP peuvent constituer une alternative avantageuse sur les aspects d ej` a d ecrits en Section 4 : cest par exemple le cas de la s ecurit e et la protection physique [512, 513], des garanties vis-` a-vis des inspections nucl eaires (nuclear safeguards ) et le risque de prolif eration [514, 515] ou du risque terroriste en g en eral (e.g. [456]). Suite ` a notre travail dadaptation, les BDMP peuvent d esormais etre consid er es comme un formalisme polyvalent, capable a la fois de mod ` eliser des probl ematiques de s uret e, mais egalement de probl ematiques de s ecurit e. Le chapitre suivant met ` a prot cette polyvalence pour etudier les relations de ces deux probl ematiques dans un usage int egratif des BDMP.

Conclusion

Ladaptation et lextension du formalisme des BDMP ` a la s ecurit e orent un compromis original en termes de lisibilit e, capacit es de passage a ` l echelle, puissance de mod elisation et capacit es de quantication. Le cadre th eorique des BDMP tel que d eni en s uret e de fonctionnement a pu etre transpos e rigoureusement pour la mod elisation de sc enarios dattaque, mais egalement etendu pour int egrer des aspects sp eciques ` a la s ecurit e. Plusieurs modalit es de d etection et de r eaction peuvent maintenant etre prises en compte dans le param etrage des mod` eles. Visuellement, ce formalisme etendu h erite de la structure hi erarchique des arbres dattaque, autorisant di erentes profondeurs danalyse et restant facile dappropriation ; il va cependant beaucoup plus loin de par ses capacit es de mod elisation dynamique et ses possibilit es de quantication. Une mise en uvre logicielle compl` ete et op erationnelle a permis de valider le mod` ele th eorique propos e, et tire prot des d eveloppements et outils d ej` a disponibles dans le cadre des etudes de s uret e.

118

Chapitre IV

Mod elisation et caract erisation des interd ependances s uret e-s ecurit e
Le couple, cest ne faire quun. Reste ` a savoir lequel. (Oscar Wilde.)

ans le pr ec edent chapitre, nous avons adapt e les BDMP, un formalisme de mod elisation dynamique D utilis e pour les etudes de s uret e, ` a la mod elisation graphique de sc enarios dattaque. Une telle adaptation a abouti ` a une approche convaincante au regard de l etat de lart du domaine. Elle sinscrit dans une liation dautres adaptations fructueuses entre s uret e et s ecurit e, evoqu ees dans le Chapitre II. Toutefois, si lint er et des travaux de fertilisation crois ee ne fait pas de doutes, il devient egalement imp eratif de mieux caract eriser et ma triser leurs interd ependances, les probl ematiques de s uret e et ` cette n, nous proposons dans ce de s ecurit e convergeant progressivement vers les m emes syst` emes. A chapitre de tirer parti de ladaptation des BDMP ` a la s ecurit e pour en faire un formalisme int egrateur, capable de prendre en compte aspects de s uret e et de s ecurit e dans un m eme mod` ele graphique, pour mieux caract eriser leurs interactions. En Section 1, nous pr ecisons la probl ematique et les enjeux associ es aux interd ependances entre s uret e et s ecurit e, et en proposons une cat egorisation macroscopique. L etat de lart de cette th ematique fait lobjet de la Section 2. La Section 3 correspond ` a la contribution principale de ce chapitre, et montre comment les BDMP peuvent aider ` a caract eriser les situations o` u s ecurit e et s uret e doivent etre consid er ees conjointement. La Section 4 situe cette contribution par rapport aux travaux d ej` a men es en la mati` ere alors que la Section 5 introduit deux approches visant ` a en etendre la port ee et lutilit e. La Section 6 discute des limites de nos propositions et mentionne plusieurs pistes et perspectives en d ecoulant.

119

1
1.1

Interd ependances entre s uret e et s ecurit e

Caract erisation de la probl ematique

La convergence des risques de s uret e et de s ecurit e pour les syst` emes informatiques du domaine industriel a et e evoqu ee dans lIntroduction G en erale de ce m emoire. La num erisation et linterconnexion des syst` emes pilotant ou surveillant des processus industriels conduisent ` a une situation nouvelle, o` u des syst` emes auparavant isol es et seulement consid er es sous langle du risque s uret e, doivent maintenant etre aussi prot eg es des risques informatiques de nature malveillante. En dautres termes, alors que s uret e et s ecurit e ont longtemps et e consid er ees comme des probl ematiques cloisonn ees, cette situation est r evolue. La prise en compte de cette convergence est dautant plus critique que la superposition dexigences et de contre-mesures relatives ` a chacune des deux probl ematiques correspond ` a une conguration mal ma tris ee, et qui peut sav erer dans certains cas contre-productive. En eet, il semble commun ement admis que la s uret e des op erations peut etre conditionn ee par la s ecurit e [21, 516] : par exemple, la modication malveillante de donn ees de capteurs ou de congurations dautomates peut emp echer des syst` emes de s uret e de prot eger une installation industrielle en etat accidentel, voire m eme amener cette installation dans celui-ci. Toutefois, il existe des relations plus subtiles et plus vari ees qui doivent etre consid er ees quand s ecurit e et s uret e se rencontrent. Un exemple du monde physique, donn e dans [26, 34] permet de lillustrer de fa con simple et parlante : consid erons un syst` eme douverture et de fermeture automatis ees de porte, point dacc` es unique ` a un local. Dun point de vue s uret e, un tel syst` eme peut n ecessiter un comportement de type fail-safe : en cas de panne, la porte est laiss ee ouverte pour rendre possible lintervention d equipes durgence ou une evacuation en cas de danger pour ses occupants (e.g. incendie). Dun point de vue s ecurit e au contraire, le syst` eme peut dans le cas dun local ` a acc` es restreint n ecessiter un comportement de type fail-secure : en cas de panne, la porte est maintenue ferm ee pour emp echer d eventuels intrus de proter de la panne, quils auraient pu provoquer pour enfreindre linterdiction dacc` es. Bien s ur, une fois cet antagonisme identi e, de nombreuses solutions techniques sont imaginables ; cet exemple a pour seul but dillustrer la possibilit e dexigences contradictoires portant sur un m eme syst` eme lorsque s uret e et s ecurit e sont consid er ees s epar ement. La Section 1.2.3 en fournit dautres sur un plan physique mais aussi informatique. De plus, au-del` a de ces exemples dantagonisme, dautres types dinterd ependance sont susceptibles dinuencer directement le niveau de risque du syst` eme ou de linstallation consid er ee. Nous en proposons une cat egorisation g en erique dans la section suivante, appuy ee par di erents cas.

1.2

Une cat egorisation macroscopique des interd ependances

Dun point de vue g en eral, une lecture critique de la litt erature traitant des relations entre s uret e et s ecurit e (cf. Chap. II et Section 2 de ce chapitre), et notre propre retour dexp erience en analyse de risques pour les syst` emes dinformatique industrielle, nous ont amen e ` a distinguer quatre grandes cat egories dinterd ependance : d ependance conditionnelle : le respect dexigences de s uret e conditionne le niveau de s ecurit e ou r eciproquement ; renforcement : des mesures prises ` a des ns de s uret e contribuent egalement ` a la s ecurit e ou r eciproquement ; antagonisme : les exigences de s uret e et de s ecurit e m` enent conjointement ` a des situations conictuelles ; ind ependance : pas dinteraction. Notons que si les relations entre s uret e et s ecurit e ont et e discut ees de fa con g en erale par de nombreux auteurs (cf. Chap. II), peu ont explicitement etabli ce type de cat egorisation. En 1999, Eames et Moet distinguent deux types dinteraction [26]. La premi` ere correspond ` a lantagonisme de notre cat egorisation. La seconde sappuie sur une distinction entre exigences primaires (primary requirements ) et exigences d eriv ees (derived requirements ) : les exigences primaires ont leur justication dans leur propre domaine alors que les exigences d eriv ees, constituant le second type dinteraction en plus de lantagonisme, ont leur justication dans le domaine dual (i.e. exigences s ecurit e fond ees sur des raisons de s uret e ou 120

r eciproquement). Ce second type correspond ` a la d ependance conditionnelle de notre cat egorisation. Le renforcement et lind ependance identi es dans cette derni` ere ne sont pas explicitement evoqu es. En 2007, Pan et Liu [517] distinguent lantinomie, lhomologie et la d ependance : les deux premi` eres distinctions renomment seulement celles de Eames et Moet (avec un plagiat caract eris e quant ` a leur description), la troisi` eme est ` a notre sens introduite articiellement, car elle ne di` ere pas sur le fond de la d enition donn ee pour la notion de d ependance. Dans les sections suivantes, nous commentons et illustrons par di erents exemples les trois premi` eres cat egories identi ees, ` a savoir la d ependance conditionnelle, le renforcement, et lantagonisme ; lind ependance ne pr esente pas dint er et particulier dans le cadre de notre discussion. 1.2.1 Exemples et consid erations sur la d ependance conditionnelle

Ce type de relation est g en eralement connu et identi e, notamment dans le sens de la s ecurit e conditionnant la s uret e [21, 516, 406]. Lexemple g en erique mentionn e au d ebut de la Section 1.1 en est une directe illustration : la modication malveillante de donn ees de capteurs ou de congurations dautomates peut eectivement emp echer des syst` emes de s uret e de prot eger une installation industrielle en etat accidentel. Cette relation de d ependance conditionnelle se retrouve dans tous les contextes o` u des syst` emes informatiques pilotent ou supervisent de processus industriels pr esentant un risque de s uret e. Par exemple, les r ef erences [518, 519] soulignent les besoins de s ecurit e des syst` emes de signalisation ferroviaire pour garantir la s uret e des trains ; celle du transport a erien est aussi conditionn ee par des probl ematiques de s ecurit e informatique dans [520, 521] ; on retrouve cette d ependance exprim ee dans [522] pour lindustrie p etroli` ere, ou encore [523] pour lautomobile. Nordland lillustre pour la signalisation ferroviaire, la t el emaintenance des plates-formes p etroli` eres et la t el em edecine dans [516]. La d ependance r eciproque est plus rarement soulign ee, mais dans certaines situations, la s uret e peut ` titre dillustration conditionner le niveau de s ecurit e dun syst` eme ou dune installation [386, 20]. A g en erique, des conditions catastrophiques li ees ` a un incident de s uret e, peuvent, si elles sont mal g er ees, aaiblir le niveau de s ecurit e dun syst` eme ou dune organisation et provoquer des actes malveillants opportunistes. Ceci est particuli` erement le cas lorsque s uret e et s ecurit e sappuient sur des ressources partag ees [159], quelles soient techniques ou humaines. Brewer mentionne une telle d ependance dans le contexte des syst` emes informatiques dans [386]. 1.2.2 Exemples et consid erations sur le renforcement

Dans certains cas, s uret e et s ecurit e se renforcent mutuellement. Les similarit es pr esent ees dans le Chapitre II expliquent ces situations, dont lidentication peut amener des optimisations de ressources, ` titre dillustration dans le monde nucl voire eviter certains doublons. A eaire, certaines dispositions prises ` a des ns de s uret e, comme les s eparations physiques et la diversication de certaines fonctions, contribuent egalement ` a la protection physique de linstallation contre le sabotage [142]. Sur un plan informatique, la plupart des approches de tol erance aux intrusions cit ees dans le Chapitre II Section 3.1.1 contribuent egalement ` a tol erer les fautes accidentelles (e.g. FRS [388, 390]). La r eciproque nest cependant pas aussi souvent valable. Ainsi, lecacit e des techniques de redondance ` a tol erer les fautes est conditionn ee par leur ind ependance vis-` a-vis du processus de cr eation et dactivation des fautes [41] : cette ind ependance peut etre mise ` a mal par une intelligence malveillante alors quelle est plus facile ` a assurer dans des hypoth` eses purement accidentelles. En particulier, redonder un syst` eme ou un traitement ` a lidentique peut etre adapt e pour la tol erance aux fautes accidentelles mais sav erera inecace face ` a un attaquant, capable dexploiter une vuln erabilit e reproduite alors ` a lidentique. Les approches de diversication sont plus susceptibles d etre ecaces en contexte accidentel et malveillant. En fait, certaines approches de tol erance aux fautes initialement propos ees dans une probl ematique accidentelle sont intrins` equement mixtes : cest le cas du mod` ele Totel (cf. Chap. II Section 3.2.2) [443], utilis e par Laarouchi et al. pour assurer s uret e et s ecurit e dans les communications entre syst` emes commerciaux et syst` emes avioniques supportant des fonctions plus critiques [445, 42]. Autres exemples, les techniques de programmation d efensive ou danalyse statique de code, largement promues par les r ef erentiels de s uret e tels que lIEC 61508 [110] sont egalement b en eques en termes de s ecurit e informatique [524]. Plus largement encore, lidentication des comportements anormaux et la journalisation des ev enements et activit es servent aussi s ecurit e et s uret e, en d etection dattaque et en anticipation de pannes, mais egalement dans les analyses a posteriori.

121

1.2.3

Exemples et consid erations sur lantagonisme

La Section 1.1 a d ej` a fourni un exemple type de cette interaction moins connue et plus insidieuse que les deux premi` eres. Dans un m eme genre dexemple g en erique, on peut egalement mentionner la probl ematique des evacuations de personnes : celles-ci doivent etre faites le plus rapidement et directement possible dun point de vue s uret e, alors que des consid erations de s ecurit e peuvent les ralentir dans certains cas (e.g. installations nucl eaires) [28, 142]. Plus trivialement, le nombre de portes d evacuation dun b atiment sera r eduit ` a un minimum dans une optique s ecurit e, facilitant le contr ole dacc` es ; il sera plus grand sil est d eni uniquement dun point de vue s uret e. Autre illustration, Sun et al. rapportent une anecdote caract erisant egalement bien de telles situations contradictoires [34]. Nous en donnons ici une traduction approximative :
Un constructeur europ een de voiture de luxe avait remarqu e que lun des ses mod` eles etait bien plus vol e que ses autres mod` eles. Ce myst` ere fut r esolu quand un voleur r ev ela que le mod` ele en question pouvait etre ouvert facilement, m eme quand les portes etaient verrouill ees. Il susait de sauter sur le toit. En fait, une fonction de s uret e d everrouillait la voiture en cas daccident et de tonneau. Pour d etecter cette derni` ere situation, la voiture surveillait la pression/le poids appliqu e sur le toit .

Jalouneix et al. mentionnent un exemple tr` es di erent : dans les installations nucl eaires, les quantit es de mati` eres radioactives doivent etre mesur ees de fa con tr` es pr ecise dans une optique s ecurit e et de lutte contre le risque de vol ou de d etournement ; les principes de s uret e am` enent quant ` a eux ` a prendre des marges de conservatisme n ecessaires vis-` a-vis des risques de r eaction critique [142]. Pour des cas relevant du domaine informatique, il est possible de transposer le dilemme des acc` es physiques expos e en Section 1.1 aux architectures r eseaux : des exigences li ees ` a la disponibilit e des syst` emes informatiques en charge de la s uret e ou au diagnostic de situations ` a risque peuvent amener a multiplier les ` echanges et connexions r eseaux, rendant plus dicile la s ecurisation de ces dispositifs. Autre exemple, des exigences de contr ole dacc` es logique pour lop erateur sur des syst` emes en salle de commande dune installation industrielle peuvent rentrer en conit avec les besoins de r eactivit e et de gestion de crise propres ` a la s uret e [11].

1.3

Des points de vue multiples

Les cat egories pr ec edemment discut ees peuvent etre consid er ees dans une perspective de conception, mais egalement dun point de vue op erationnel pour des syst` emes existants. Elles restent aussi pertinentes du point de vue dun attaquant. Par exemple, un attaquant peut opportun ement mettre ` a prot des incidents de s uret e dans la r ealisation de son objectif : dans certains cas, une d efaillance accidentelle contribuera directement ` a sa progression, facilitant sa t ache ou amoindrira les risques d etre d etect e. Un attaquant peut egalement analyser les sc enarios et d emonstrations de s uret e quand elles sont disponibles pour pr eparer ses oensives, non seulement pour les raisons evoqu ees pr ec edemment, mais aussi pour eventuellement augmenter les cons equences de son attaque. Dans sa th` ese [525], Igure sappuie sur les analyses de protocoles de communication industriels eectu ees ` a des ns de s uret e pour identier des vuln erabilit es exploitables par un attaquant. Au-del` a des exemples et des descriptions g en eriques, le d e consiste ` a identier et caract eriser de telles interd ependances au plus t ot, durant les phases de conception et de sp ecication, dans le but de g erer leurs cons equences et doptimiser les ressources et performances du syst` eme consid er e. Ce d e est encore largement ` a relever. L etat de lart en la mati` ere est d ecrit dans la section suivante.

2
2.1

Etat de lart
Contributions g en erales dordre organisationnel

Une premi` ere cat egorie de contributions traite daspects organisationnels et de processus g en eriques li es a ` la sp ecication, ` a la conception et au d eveloppement de syst` emes. En 1999, Eames et Moet proposent dadopter une m ethodologie int egr ee danalyse de risques et de sp ecication dans [26]. Leur d emarche harmonis ee sappuie sur une comparaison critique des analyses de risques types men ees habituellement de fa con distincte en s uret e et en s ecurit e, et sarticule en quatre

122

phases : mod elisation du syst` eme, analyse qualitative, analyse quantitative et d enition des exigences. Elle est bri` evement illustr ee par un cas d etude de syst` eme militaire de contr ole a erien. En 2005, Lautieri et al. donnent dans [27, 526, 527] un aper cu de SafSec, une m ethodologie elabor ee sur commandite du minist` ere de la D efense britannique en vue doptimiser les eorts de d eveloppement associ es aux exigences de certication de s uret e et de s ecurit e pour les syst` emes avioniques. D evelopp ee et depuis mise en uvre industriellement par la soci et e Praxis-HIS (devenue Altran-Praxis) 1 , elle est structur ee autour de 18 objectifs dont latteinte permet dobtenir des el ements pertinents ` a la fois pour des certications de s uret e (e.g. DO-178B) et de s ecurit e (e.g. Crit` eres Communs). Elle sappuie en outre sur les notions de safety cases et le formalisme GSN evoqu es en II-3.1.3. En 2006, lEFCOG 2 , sous l egide du d epartement de lEnergie etats-unien (DoE), d ecrit une approche int egr ee de type projet conciliant s ecurit e et s uret e dans la gestion de larsenal nucl eaire etats-unien [28]. Le document sint eresse plus particuli` erement aux syst` emes de s ecurit e devant ` a la fois r epondre aux exigences de la DBT (Design Basis Threat, cf. II-1.1.1) et ` a des contraintes de s uret e. La d emarche propos ee doit permettre en plus d etablir une bo te ` a outils d el ements r eutilisables sur les di erents sites du DoE. La n ecessit e de coordination entre les equipes, y compris en termes de concepts et de terminologie, est soulign ee. Une annexe compl` ete met en correspondance les principaux el ements de vocabulaire employ es par les acteurs s uret e et s ecurit e du DoE. Plus largement, les eventuelles contradictions entre s uret e et s ecurit e doivent pouvoir etre r esolues par la d emarche de s election dalternatives techniques egalement sp eci ee dans le document. Novak et al. d eveloppent en deux temps une approche visant aussi ` a tenir compte des interactions entre s uret e et s ecurit e : en 2007, ils sint eressent aux phases amonts de sp ecication et de conception [450] ; en 2008, ils d eveloppent un mod` ele de cycle de vie complet [451, 29]. Dans les deux cas, le contexte th ematique est celui des automatismes du b atiment (BACS, pour Building Automation Control Systems ) mais leurs r eexions sont g en eralisables. Leur d emarche sinspire ` a la fois du mod` ele de d eveloppement port e par la norme IEC 61508 et sur la d emarche mise en uvre par les Crit` eres Communs. H elas, la m ethode didentication de conits potentiels et de r esolution reste tr` es impr ecise : les exigences s uret e ou s ecurit e sont privil egi ees sur la base des enjeux qui leur sont associ es mais sans pr eciser les modalit es dun tel arbitrage. Le contexte des BACS am` ene ainsi les auteurs ` a syst ematiquement privil egier les exigences de s uret e sur celles de s ecurit e [29]. Des exemples de d eveloppement de protection cryptographique sont abord es dans ce contexte, montrant comment leurs sp ecications prennent en compte s uret e et s ecurit e. En 2009, lAutorit e de s uret e etats-unienne a publi e un guide de mise en uvre du code r eglementaire f ed eral sur linterface entre s uret e et s ecurit e pour les centrales nucl eaires [30]. Les interactions entre s uret e et s ecurit e y sont reconnues, couvrant de fa con implicite les quatre types identi es en Section 1.2. Pour les identier et les g erer globalement, le guide pr esente en quelques pages plusieurs recommandations dordre organisationnel et proc edural. En outre, une formalisation adapt ee des echanges dinformation et une coordination sp ecique des acteurs permettent de d ecloisonner les deux probl ematiques. Une liste de questions types est fournie pour aider dans l evaluation de la mise en uvre de la d emarche pr econis ee ; les aspects audit et formation sont egalement trait es. Dans lensemble, les contributions evoqu ees dans cette sous-section restent tr` es g en eriques. En particulier, elles ne pr ecisent pas les m ethodes de mod elisation, danalyse qualitative et danalyse quantitative a employer pour caract ` eriser les interd ependances quelles mentionnent.

2.2

Contributions cibl ees

Un second type de contributions regroupe des travaux plus cibl es, ne couvrant quun sous ensemble de la question des interd ependances entre s uret e et s ecurit e. Par exemple, leet des approches de diversication en s uret e et en s ecurit ea et e etudi e par Littlewood et Stringini dans [31], et plus r ecemment par Gerstinger et Novak [528] ou Komari et al. [529]. Encore plus cibl es, les travaux de Cho et al. analysent lincidence des syst` emes de d etection dintrusions sur la abilit e de communications de groupe orient ees par mission (mission-oriented group communications ) [530]. Ceux de Wu et Chen [531] sint eressent au nombre de cl es dun sch ema de cryptographie ` a seuil permettant doptimiser niveau de protection du sch ema et niveau de abilit e du syst` eme. Dans [33], Levitin et Hausken proposent un mod` ele visant ` a choisir les meilleures strat egies dallocation de ressources pour prot eger des syst` emes redondants en pa1. Des documents beaucoup plus complets que les articles cit es sont dailleurs disponibles sur le site dAltran-Praxis (http://www.praxis-his.com/safSecStatus.aspx). 2. Energy Facility COntractors Group (EFCOG, http://www.efcog.org).

123

rall` ele face ` a di erents types de risque. Ils montrent que dans les congurations consid er ees, elles varient consid erablement selon que le risque est accidentel, malveillant ou mixte. Globalement, les travaux mentionn es dans cette sous-section ne couvrent que des aspects tr` es sp ecifiques de la probl ematique des interactions s uret e-s ecurit e. On peut egalement s etonner de leur nombre relativement limit e compte-tenu de la diversit e des aspects ` a traiter et des cas dapplication envisageables.

2.3

Utilisation de m ethodes formelles et model-checking

Une troisi` eme cat egorie de contributions correspond aux approches formelles permettant lutilisation de techniques de model-checking . En 2005, Zafar et Dromey [32] mettent ` a prot pour cela des techniques issues de ling enierie g en etique logicielle (genetic software engineering ) [532] : les exigences s uret e et s ecurit e de haut niveau sont formalis ees graphiquement par des arbres comportementaux, ils peuvent ensuite etre traduits en CSP 3 ou dans latelier logiciel danalyse statique SAL 4 pour faire lobjet de traitement par model-checking. Le cas d etude correspond au syst` eme de contr ole dun dispositif m edical de perfusion mobile, pour lequel le d eroulement de la m ethode propos ee permet de v erier le respect des deux types dexigences. Sun et al. sappuient sur le langage de r e ecriture logique Maude [533] pour mod eliser le syst` eme de contr ole de porte automatis ee evoqu e en Section 1.1 et ses contraintes de s uret e et de s ecurit e [34]. Les eventuelles contradictions peuvent ensuite etre identi ees par model-checking. Malheureusement, ces approches ne semblent envisageables que pour des syst` emes tr` es simples ou ` a un niveau dabstraction elev e, etant donn e les eorts de formalisation n ecessaires. Elles ne sint eressent de plus quaux eventuels conits entre exigences, mais ne permettent pas dans leur forme actuelle didentier les autres types dinterd ependance comme le renforcement ou la d ependance conditionnelle.

2.4

Utilisation de formalismes de mod elisation graphique

` notre connaissance, il ny a quune seule publication d A ecrivant une formalisation graphique caract erisant explicitement des interactions entre s uret e et s ecurit e (en loccurrence de type d ependance). En eet, Fovino et al. d ecrivent dans [534] comment arbres de d efaillances, mod elisant des sc enarios accidentels, et arbres dattaque, mod elisant des sc enarios malveillants, peuvent etre int egr es dans une m eme structure, d enomm ee arbre de d efaillances etendu (extended fault tree ). La mod elisation par BDMP que nous d ecrivons dans la prochaine section peut etre vue commune une alternative permettant de d epasser bon nombre de limites de lapproche de Fovino et al. Nous d eveloppons cette comparaison en Section 4.

Les BDMP comme formalisme int egrateur

Nous avons pr esent e les BDMP dans le Chapitre III, et expos e comment ils pouvaient etre avantageusement adapt es et employ es dans le domaine de la s ecurit e. Dans cette section, nous mettons ` a prot cette adaptation pour faire des BDMP un formalisme int egrateur permettant de repr esenter et traiter des aspects de s uret e et de s ecurit e dans un m eme mod` ele graphique. Pour cela, nous nous appuyons sur les feuilles BDMP telles que classiquement employ ees dans les etudes de s uret e de fonctionnement, augment ees des feuilles d enies pour la mod elisation s ecurit e dans le Chapitre III. Les premi` eres sont utilis ees pour mod eliser des ev enements accidentels associ es ` a la dimension s uret e, tandis que les secondes caract erisent des actions malveillantes, relevant donc dune probl ematique de s ecurit e. La Section 3.1 d ecrit une hypoth` ese th eorique et pratique n ecessaire ` a une telle int egration, elle rappelle ensuite sommairement la s emantique des feuilles du formalisme dorigine. La Section 3.2 pr esente le cas d etude choisi pour illustrer lint er et dune telle int egration. La Section 3.3 aborde dans un premier temps la mod elisation BDMP du cas d etude dun point de vue s uret e uniquement, puis sous langle s ecurit e. Elle montre ensuite comment les BDMP permettent de mod eliser les interactions entre s uret e et s ecurit e, int egrant les situations consid er ees de fa con isol ee en d ebut de section. La caract erisation quantitative de ces interactions est enn abord ee en Section 3.4.
3. Communicating Sequential Processes (CSP) [441]. 4. Symbolic Analysis Lab (SAL, http://sal.csl.sri.com).

124

3.1
3.1.1

Consid erations pr eliminaires

Hypoth` ese n ecessaire

Le formalisme original des BDMP associe ` a chaque el ement, porte ou feuille, trois fonctions bool eennes du temps : Si , fonction de structure indiquant l etat de r ealisation de l el ement, Xi , s electeur de mode indiquant dans quel mode l el ement doit etre consid er e et Yi , indicateur de pertinence utilis e pour le m ecanisme de ltrage des ev enements pertinents lors du traitement quantitatif du mod` ele. Ces fonctions sont d enies pr ecis ement dans le papier de r ef erence des BDMP [238] et dans le Chapitre III de ce m emoire, etant aussi impliqu ees dans ladaptation des BDMP ` a la s ecurit e. Du point de vue th eorique, la principale di erence entre les BDMP classiques et les BDMP s ecurit e correspond ` a lintroduction dun bool een suppl ementaire pour ces derniers : lindicateur de statut de d etection Di (cf. Chap. III Section 3.2). Dans la pratique, notamment dans la mise en uvre logicielle pr esent ee dans le Chapitre III, il sut de ninstancier les r` egles Figaro associ ees ` a Di que dans les feuilles s ecurit e et les portes du mod` ele. Sa dynamique globale reste alors d enie par les fonctions Si , Xi , Yi , alors que la dynamique sp ecique de d etection est circonscrite aux seules feuilles concern ees. 3.1.2 Rappels sur les feuilles : s emantique, param` etres et repr esentations

Les descriptions des feuilles mod elisant les aspects s ecurit e sont donn ees au Chapitre III Section 3, nous invitons le lecteur ` a sy r ef erer. Les feuilles correspondant aux aspects accidentels sont celles d ecrites dans [238], nous indiquons la repr esentation des deux les plus employ ees par la suite dans la Table IV.1 et en rappelons sommairement leurs caract eristiques. Table IV.1 Deux feuilles des BDMP classiques pour mod eliser les ev enements accidentels
Type de feuille et reprsentation

Comportement modlis Cette feuille modlise une dfaillance accidentelle en opration, qui ne peut survenir que quand le composant est en mode sollicit . Ce mode, quivalent du mode Actif des feuilles scurit, signifie que le composant est en fonctionnement utile pour le systme (une redondance chaud requiert un autre type de feuille). La dfaillance arrive aprs un temps distribu exponentiellement selon une loi de paramtre , et peut galement tre rpare en un temps exponentiel (paramtre ).

!
Dfaillance accidentelle en opration

I !

Dfaillance accidentelle la sollicitation

Cette feuille modlise une dfaillance accidentelle la sollicitation (on-demand failure), qui peut arriver instantanment lorsque la feuille change de mode, avec une probabilit . La dfaillance peut tre rpare en un temps distribu exponentiellement selon une loi de paramtre .

3.2

Cas d etude

Nous prenons pour cas d etude un syst` eme tr` es proche de celui mod elis e par Fovino et al. dans [534] : il est constitu e dune canalisation que lon suppose transporter une substance polluante (e.g. un produit chimique pour suivre lexemple de Fovino), surveill ee par un syst` eme instrument e de s uret e (SiS) en charge darr eter le ux en cas de probl` eme (fuite, surpression, etc.). L ev enement redout e est la pollution de lenvironnement. Au niveau dabstraction choisi, le syst` eme na donc que deux composants, la canalisation et le SiS, mais sut ` a illustrer la richesse des interactions entre s uret e et s ecurit e et montrer en quoi les BDMP peuvent fournir un outil dint er et pour mieux les caract eriser.

125

3.3

Mod elisation des interactions entre s uret e et s ecurit e par les BDMP

Dans cette section, nous allons examiner le cas d etude en BDMP sous une double perspective, prenant en compte les d efaillances de cause accidentelle et la malveillance. Le sommet du BDMP reste dans tous les mod` eles la pollution, ` a la fois ev enement redout e dun point de vue s uret e et objectif de lattaquant. Une telle approche, englobant risque s uret e et risque s ecurit e, peut etre abord ee de fa con incr ementale. ` cette n, nous distinguons trois perspectives et types de mod` A eles associ es : les mod` eles purs , les mod` eles hybrides et les mod` eles int egr es . Ces mod` eles, bien que progressivement modi es et enrichis, restent dans lensemble ` a un niveau tr` es macroscopique. La nature hi erarchique des BDMP permettrait de d evelopper les feuilles et de restituer explicitement la diversit e des alternatives oertes ` a lattaquant et/ou celle des s equences accidentelles. Nous avons cependant pr ef er e nous en abstenir ` a des ns explicatives et dappropriation du formalisme. 3.3.1 Mod` eles purs

Nous d esignons par mod` eles purs les mod` eles ne prenant en compte que des ev enements accidentels ou uniquement des actions malveillantes. La Figure IV.1 repr esente trois mod` eles BDMP purs orient es s uret e, utilisant par cons equent les feuilles de la Table IV.1. Ils mod elisent de trois fa cons di erentes le comportement dynamique du syst` eme dun point de vue accidentel et les d efaillances associ ees. Un arbre de d efaillances standard naurait pu faire une telle distinction. Dans la partie a) de la gure, le SiS a une probabilit e de d efaillir au moment o` u il est sollicit e suite ` a une rupture de la canalisation. Dans la partie b), le SiS peut cesser d etre op erationnel avant une telle rupture (pour cause de d efaillance silencieuse au repos, maintenance, etc.) ; la porte Priority AND (PAND) impose un tel ordre pour que la pollution ait lieu. Dans la partie c), les deux comportements sont mod elis es 5 . Le BDMP de la Figure IV.2 mod elise le m eme syst` eme que pr ec edemment, avec le m eme ev enement redout e, mais dans une perspective malveillante. En dautres termes, la d efaillance du SiS et la rupture de la canalisation menant ` a la pollution sont maintenant consid er ees comme provoqu ees volontairement. Il est remarquable que ce seul changement de perspective a une incidence concr` ete en termes de mod elisation : la seule fa con logique de proc eder pour un attaquant intelligent est de d esactiver en premier lieu le SiS avant dattaquer la canalisation, alors que la perspective accidentelle nous amenait a consid ` erer plusieurs types de s equences comme illustr e par la Figure IV.1. Ceci souligne la pertinence et limportance de la capacit e` a mod eliser de tels aspects : les mod` eles statiques comme les arbres de d efaillances et les arbres dattaque nen sont, comme d ej` a signal e, pas capables. 3.3.2 Mod` eles hybrides

Les mod` eles hybrides correspondent ` a des mod` eles combinant ev enements de base de type accidentel et de type malveillant. Des exemples repr esentatifs sont donn es par la Figure IV.3. Le BDMP de la Figure IV.3a) mod elise un comportement opportuniste de lattaquant, evoqu e de fa con g en erique en Section 1.2.1 : lattaquant attend que le SiS soit hors service pour attaquer la canalisation. Plusieurs hypoth` eses sont associ ees ` a ce mod` ele : tout dabord, la canalisation doit fonctionner malgr e larr et du SiS, ce qui peut ne pas etre r ealiste selon le niveau de s uret e et de proc edure en place ; deuxi` emement, la d efaillance du SiS doit durer au moins le temps n ecessaire ` a lattaquant pour r eussir son attaque sur la canalisation ; nalement, lattaquant doit etre capable de rep erer une telle d efaillance, ce qui peut impliquer des collaborations internes ou de tierces parties associ ees aux activit es de maintenance. Le BDMP de la Figure IV.3b) mod elise un sc enario hybride dans lequel lattaquant d esactive le SiS, mais choisit de laisser une d efaillance accidentelle achever la s equence menant ` a son objectif nal, la pollution. Ceci peut etre fait pour r eduire les risques de d etection, et d epend egalement de la dur ee de la d efaillance du SiS. Notons que comme dans la Figure IV.1, une porte PAND mod elise le fait que la pollution ne peut avoir lieu que si le SiS est d esactiv e avant la rupture de canalisation. 3.3.3 Mod` eles int egr es

Finalement, il est possible de combiner les mod` eles purs et les mod` eles hybrides dans des mod` eles que nous qualions dint egr es, comme illustr e par la Figure IV.4. Dans la partie a) de la gure, le BDMP
5. Dans cette derni` ere partie, lemploi de deux feuilles distinctes pour mod eliser la d efaillance dun m eme composant (SiS) pourrait surprendre le lecteur. La construction du mod` ele et le m ecanisme de ltrage des ev enements pertinents des BDMP assurent quelles ne peuvent etre consid er ees simultan ement.

126

a)
Pollution

b)
Pollution

AND
Dfaillance Accidental_failure accidentelle THEN_(PAND)

I !

Rupture accidentelle de la canalisation

Dfaillance accidentelle la sollicitation du SiS

Dfaillance accidentelle du SiS

Rupture accidentelle de la canalisation

c)
Pollution

OR
Dfaillance Accidental_failure accidentelle

AND
THEN_(PAND)

I !

Dfaillance accidentelle du SiS

Rupture accidentelle de la canalisation

Dfaillance accidentelle la sollicitation du SiS

Figure IV.1 D efaillances accidentelles menant ` a la pollution

Pollution

AND
Dfaillance Accidental_failure malveillante

Dsactivation malveillante du SiS

Rupture malveillante de la canalisation

Figure IV.2 D efaillance purement malveillante

127

a)
Pollution

b)
Pollution

AND
Hybride dpart accidentel THEN_(PAND)

Dfaillance accidentelle du SiS

Rupture malveillante de la canalisation

Dsactivation malveillante du SiS

Rupture accidentelle de la canalisation

Figure IV.3 Exemples de mod` eles hybrides

permet de distinguer deux valeurs pour la probabilit e de d efaillance ` a la sollicitation du SiS, selon quil est attaqu e ou pas ; une telle mod elisation est plus ne que les pr ec edentes o` u la compromission du SiS menait directement ` a une d efaillance certaine. La partie b) de la Figure IV.4 ne prend pas en compte cette distinction, mais couvre un spectre plus large de sc enarios, incluant notamment le sc enario opportuniste de la Figure IV.3a) et aussi bien les d efaillances ` a la sollicitation quen op eration du SiS. De plus, on peut souligner que lorigine et la cible de la g achette dans la partie gauche de la Figure IV.4b) peuvent etre chang ees, re etant alors di erentes congurations. Par exemple, une g achette partant de la feuille D efaillance ` a la sollicitation du SiS (quand attaqu e) au lieu de la porte OU D efaillance du SiS exclurait le sc enario opportuniste de la Section 3.3.2. Dans le cas pr esent, lattaquant tente de corrompre le SiS mais pourrait egalement remarquer et tirer b en ece dune d efaillance accidentelle.

3.4
3.4.1

Caract erisation et comparaison de sc enarios par analyse quantitative

Quantications et choix du r ef erentiel temporel

Les capacit es de quantication des BDMP ont et e pr esent ees dans le Chapitre III Section 2.4. Quantications temporelles et non-temporelles nourrissent les analyses dun point de vue quantitatif comme qualitatif. Ces capacit es peuvent etre exploit ees pour caract eriser et comparer les mod` eles purs, hybrides et int egr es. Les comparaisons sont utiles entre alternatives appartenant ` a la m eme cat egorie, en changeant la valeur des param` etres et les congurations, mais aussi entre cat egories. Les dimensions sp eciques ` a chaque domaine, telles que les notions de maintenance et de r eparation pour les BDMP classiques ou celles de d etection/r eaction pour les BDMP s ecurit e, peuvent etre prises en compte. Pour le traitement des mod` eles hybrides ou int egr es, di erents r ef erentiels de temps sont envisageables. La di erence de nature entre ev enements accidentels et actions malveillantes peut en eet etre prise en compte sur le plan de la mod elisation stochastique. Plus concr` etement, les mod` eles peuvent prendre comme r ef erentiel temporel le d ebut de lattaque (cest le cas des exemples pr ec edents et de la Fig. IV.5a)), mais il est aussi possible de mod eliser une dur ee dattente pr ec edant le d ebut de lattaque, par rapport a une origine des temps arbitraire. Ceci peut ` etre fait, comme lillustre la Figure IV.5b), par lemploi dune feuille suppl ementaire doccurrence dattaque et dune g achette. Le temps darriv ee de lattaque est alors mod elis e par une loi exponentielle de param` etre , qui peut etre d etermin e sur les bases dune estimation de la fr equence doccurrence de ce type dattaque. Une telle approche est plus homog` ene avec la mod elisation stochastique des ev enements accidentels, reposant sur le m eme genre de consid erations. 3.4.2 Application au cas d etude

Nous illustrons ici lint er et des quantications temporelles pour la caract erisation des interactions entre s uret e et s ecurit e sur la base du cas d etude pr ec edemment d evelopp e. Dans cette perspective, les feuilles des mod` eles associ es doivent etre param etr ees selon leurs sp ecications, d ecrites respectivement dans le Chapitre III pour les feuilles orient ees s ecurit e, et dans [238] pour les feuilles orient ees s uret e (la 128

a)
Pollution

AND
Dfaillance

OR
Pipe_breakdown Rupture de canalisation

OR
SiS_failure Dfaillance du SiS SiS compromis

I !

I !

Rupture accidentelle de la canalisation

Rupture malveillante de la canalisation

Dfaillance accidentelle la sollicitation du SiS

Dfaillance la sollicitation du SiS (quand attaqu)

b)
Pollution

OR

AND
THEN THEN_1 (PAND) Dfaillance Hybrid_failure hybride

OR
SiS SiS_disabled dsactiv

OR
Rupture de la canalisatoin

I !

Dfaillance accidentelle la sollicitation du SiS

Dsactivation malveillante du SiS

Dfaillance accidentelle du SiS

Rupture malveillante de la canalisation

Rupture accidentelle de la canalisation

Figure IV.4 Mod` eles int egr es

129

a)
Pollution

b)
Pollution

THEN_(PAND)

Occurrence dune attaque

THEN_(PAND)

Dsactivation malveillante du SiS

Rupture accidentelle de la canalisation

Dsactivation malveillante du SiS

Rupture accidentelle de la canalisation

Figure IV.5 Choix du r ef erentiel temporel

Table IV.1 a synth etis e la description des feuilles classiques ici employ ees). Un tel param etrage consiste dans notre cas ` a d enir principalement les valeurs de taux de d efaillance accidentelle en op eration et ` a la sollicitation, et les taux de r eussite de lattaquant. De nombreux autres param` etres sont d ecrits dans le Chapitre III et dans [238], permettant une mod elisation ne des r eparations, d etections et r eactions. En coh erence avec le relative simplicit e de notre cas d etude, nous ne consid ererons ici que les possibilit es de d etection de type I et de type E : lattaquant peut etre d etect e` a chaque d ebut daction mod elis ee avec des probabilit es D(I) di erenci ees par feuille, il peut aussi etre d etect e pendant le d eroulement de ses actions, avec des taux de d etection D(E) , egalement di erenci es selon les feuilles. La Table IV.2 pr ecise lensemble des param` etres choisis pour caract eriser le mod` ele purement malveillant, les mod` eles hybrides et un des mod` eles int egr es pr ec edemment expos es, correspondant respectivement aux Figures IV.2, IV.3a), IV.3b) et IV.4b). Les valeurs sont ici choisies arbitrairement, mais pour un cas d etude r eel, elles devraient etre d enies selon les approches classiques de la s uret e pour les feuilles mod elisant des ev enements accidentels, et selon des avis dexpert pour les feuilles mod elisant les actions de lattaquant (cf. Chap. III Sections 2.4.3 et 6.1 pour une discussion sur ces aspects). Table IV.2 Param etrage des mod` eles
Feuille D esactivation malveillante du SiS Figures IV.2, IV.3b), IV.4b) IV.3a), IV.4b) IV.2, IV.3a), IV.4b) IV.3b), IV.4b) IV.4b) Param` etres (unit e de temps = heure) Si non d etect e : S/ND = 4, 166 102 (MTTS 1 jour) ; Param` etres de d etection : D(I) = 0, 5 ; D(E) = 5, 952 103 (MTTD 1 semaine) ; Une fois d etect e : S/D = 1, 377 103 (MTTS 1 mois) = 5, 741 105 (MTTF 2 ans) Si non d etect e : S/ND = 5, 952 103 (MTTD 1 semaine) ; Param` etres de d etection : D(I) = 0, 1 ; D(E) = 5, 952 103 (MTTD 1 semaine) ; Une fois d etect e : S/D = 0 (stop) = 1, 148 104 (MTTF 1 an) = 104

D efaillance accidentelle du SiS (en fonctionnement) Rupture malveillante de la canalisation

Rupture accidentelle de la canalisation D efaillance accidentelle ` a la sollicitation du SiS

Avec ces param` etres, nous pouvons calculer la probabilit e de pollution pour chaque mod` ele selon di erents temps de mission. Le choix du temps de mission d epend du cadre de la situation ` a mod eliser : dans notre cas, la substance polluante circule par exemple uniquement durant une p eriode bien d enie, ou lattaquant a une contrainte de temps ` a respecter. La Figure IV.6 repr esente la probabilit e doccurrence de la pollution pour le mod` ele purement malveillant (Fig. IV.2) et les deux mod` eles hybrides (Fig. IV.3), selon trois temps de mission distincts. Elle montre que cette dur ee a pour ces cas une inci130

dence signicative, notamment vis-` a-vis de la probabilit e de pollution dans les mod` eles hybrides. Dans la perspective dun attaquant visant la pollution, il est plus ecace de se comporter selon le mod` ele purement malveillant si le temps de mission est court (cf. s erie pour le temps de mission dune semaine), alors quune approche hybride peut etre plus int eressante quand lattaquant na pas de contrainte de temps. En eet, pour la s erie correspondant ` a un temps de mission dune ann ee, la strat egie optimisant les chances de r eussite correspond au mod` ele hybride avec un d epart malveillant : le SiS est d esactiv e de fa con malveillante, mais la rupture de canalisation menant ` a la pollution arrive de fa con accidentelle. Cette situation peut sexpliquer par le choix des param` etres de d etection et de r eaction : dans notre cas, la d etection de lattaque de la canalisation annule toute chance de succ` es, re etant par exemple un durcissement radical de la d efense. La d etection de lattaque du SiS am` ene seulement une augmentation de la dicult e. Ceci peut se justier si lon consid` ere par exemple un premier type dattaque du SiS de nature distante et informatique, vecteur pr ef er e par lattaquant mais remplac e dans un second temps par une attaque physique, plus risqu ee pour lattaquant mais rendue n ecessaire par une nouvelle protection logique du SiS (voire son isolement) provoqu ee par la d etection du premier type dattaque.

0.7 0.6 0.5 0.4 0.3 0.2 0.1 0 Purement malveillant (Fig. IV.2) 1.91E-01 5.03E-02 8.44E-03 Hybride, dpart malveillant (Fig. IV.3b)) 1.75E-01 1.62E-02 2.44E-03 Hybride, dpart accidentel (Fig. IV.3a)) 3.44E-01 4.50E-01 5.88E-01 En une semaine En un mois En un an

Figure IV.6 Probabilit e de l ev enement redout e pour di erents mod` eles et temps de mission ` c A ot e de ce genre de r esultats globaux, les BDMP permettent aussi lidentication et la quantication de toutes les s equences menant ` a l ev enement redout e, ordonn ees selon leur probabilit e doccurrence durant le temps de mission. Les mod` eles purs et hybrides de notre cas d etude sont trop simples pour que de tels r esultats pr esentent un int er et, mais la liste des s equences procure des informations qualitatives et quantitatives pertinentes pour lanalyse de cas plus complexes. Bien que de taille encore modeste, le mod` ele int egr e de la Figure IV.4b) convient pour lillustrer. Son traitement m` ene ` a lidentication de 27 s equences menant ` a la pollution (en prenant en compte les ev enements de d etection). Pour un temps de mission dun an, avec les param` etres de la Table IV.2, la pollution a une probabilit e doccurrence de 0, 75. Cette valeur tr` es elev ee est li ee en partie ` a la dimension globale de lanalyse, int egrant malveillance et d efaillances accidentelles, mais egalement au r ef erentiel de temps adopt e, bas e de fa con d eterministe sur le d epart certain dune attaque. Comme discut e en Section 3.4.1, les notions de fr equence dattaque et de temps moyen avant la premi` ere attaque auraient egalement pu etre mod elis ees : la probabilit e doccurrence de la pollution aurait alors et e plus faible 6 . La Table IV.3 donne un extrait repr esentatif de la liste compl` ete des s equences, ordonn ees par contribution. Les deux premi` eres sont purement malveillantes et repr esentent environ 52 % de la probabilit e globale de pollution. Les deux s equences suivantes sont de nature hybride, avec un d epart malveillant et contribuent pour 32 % aux chances de pollution. Il faut ensuite attendre la s equence no 9 pour trouver une s equence hybride avec un d epart accidentel, suivie par la premi` ere s equence purement accidentelle (no 10). Assez naturellement, les s equences purement accidentelles ont un poids tr` es limit e dans la probabilit e de pollution, ecras ees par les s equences purement malveillantes et les s equences hybrides.
6. Rappelons aussi que les param` etres ont et e choisis arbitrairement et ne re` etent pas une situation r eelle.

131

Table IV.3 S election de s equences et quantications associ ees pour le mod` ele int egr e de la Fig. IV.4b)
No 1 2 3 S equence D etection initiale attaque du SiS, Succ` es attaque du SiS (d etect e), Rupture malveillante de la canalisation (non d etect e) Succ` es attaque du SiS (non d etect e), Rupture malveillante de la canalisation (non d etect e) Succ` es attaque du SiS (non d etect e), D etection en cours de tentative de rupture malveillante de la canalisation, Rupture accidentelle de la canalisation D etection initiale attaque du SiS, Succ` es attaque du SiS (d etect e), D etection en cours de tentative de rupture malveillante de la canalisation, Rupture accidentelle de la canalisation D etection initiale attaque du SiS, D efaillance accidentelle du SiS, Rupture malveillante de la canalisation (non d etect e) D etection initiale attaque du SiS, D efaillance accidentelle du SiS, D etection en cours de tentative de rupture malveillante de la canalisation, Rupture accidentelle de la canalisation D etection initiale de lattaque du SiS, D efaillance accidentelle du SiS, D etection initiale de tentative de rupture malveillante de la canalisation, Rupture accidentelle de la canalisation Probabilit e (1 semaine) 1, 981 101 1, 943 101 1, 222 101 Dur ee moyenne (h) 7, 23 102 1, 04 102 8, 80 103 Contrib. 26, 2 % 25, 7 % 16, 2 %

1, 187 101

9, 42 103

15, 7 %

... 9 10

8, 20 103 4, 92 103

7, 29 102 9, 42 103

1, 1 % 0, 6 %

... 14

1, 11 103

9, 34 103

0, 1 %

...

Positionnement de la contribution

Comme nous lavons mentionn e en Section 2.4, l etat de lart en termes de mod` eles graphiques capables de prendre en compte les interd ependances entre s uret e et s ecurit e est tr` es restreint. Nous navons en fait identi e que lapproche propos ee par Fovino et al. [534]. Elle d ecrit comment fusionner arbres de d efaillances et arbres dattaque dans une structure nomm ee arbre de d efaillances etendu (extended fault tree ), int egrant ev enements accidentels et actes malveillants dans un arbre logique menant ` a un ev enement redout e. La fusion sarticule autour d ev enements de larbre de d efaillances pouvant etre provoqu es de fa con malveillante : des arbres dattaque dont les sommets correspondent ` a ces ev enements sont rattach es a larbre de d ` efaillances principal. Int egrant feuilles s uret e et feuilles s ecurit e dans un m eme BDMP, notre approche peut sembler en premi` ere analyse tr` es similaire ; elle poss` ede en fait plusieurs avantages signicatifs. Tout dabord, lutilisation des BDMP permet de prendre en compte la dimension dynamique du d eroulement des sc enarios tout en restant visuellement proche des arbres dattaque et de d efaillance. Nous avons pu souligner ` a diverses reprises ` a quel point une telle prise en compte importait dans la mod elisation dactions malveillantes, mais egalement pour rendre compte de la diversit e des interactions entre s uret e et s ecurit e. Le simple cas d etude d eclin e en Section 3.3 en donne une bonne illustration. La mod elisation de ces aspects dynamiques nest pas possible dans lapproche de Fovino et al. Ceux-ci mentionnent lutilisation de DFT en perspective : nous renvoyons alors le lecteur vers le Chapitre III Section 4.4 pour une comparaison entre DFT et BDMP. De plus, notre approche permet diverses quantications temporelles dint er et, en plus des quantications classiquement oertes par les arbres statiques. Lapproche de Fovino et al. restreint implicitement les possibilit es ` a ce dernier type. Aucun exemple de quantication nest cependant donn e dans [534]. Par ailleurs, la di erence de nature entre probabilit e de d efaillance accidentelle et probabilit e de r eussite dattaque, evoqu ee en Section 3.4.1 pour notre cadre dynamique, ne semble pas avoir et e consid er ee. Pour nir, lint egration entre ev enements accidentels et actions malveillantes sappuie sur des portes dites de fusion (merge gates ), permettant de connecter les objectifs darbres dattaque aux feuilles dun arbre de d efaillance. Pr esent ees dans le corps de larticle comme cl es de construction des mod` eles, elles ne sont en fait pas mises en uvre dans le cas d etude propos e. Nous avons pour notre part choisi une approche plus souple, permettant la combinaison de feuilles de BDMP s ecurit e et de feuilles de BDMP classiques au gr e des besoins de mod elisation.

132

Au-del` a de la comparaison avec lapproche de Fovino et al., il peut etre int eressant dadopter un point de vue plus large, et dexaminer les autres cat egories de travaux sint eressant aux interactions entre s uret e et s ecurit e d ecrits dans la Section 2. Vis-` a-vis des propositions faites en termes daide g en erique ` a la sp ecication et ` a la conception de la Section 2.1, notre approche trouverait sa place dans de telles m ethodologies comme outil avanc e de caract erisation des interactions s uret e-s ecurit e, eventuellement identi ees au pr ealable par les m ethodologies mentionn ees. Les contributions plus cibl ees de la Section 2.2 pourraient aussi tirer b en ece de notre proposition an de mod eliser et comparer di erentes congurations pour des architectures donn ees. Finalement, les approches de la Section 2.3 sont compl ementaires : contrairement ` a celles-ci, la mod elisation par BDMP ne permet pas didentier automatiquement des situations conictuelles, ni plus largement de couvrir exhaustivement le champ complet des interactions s uret e-s ecurit e envisageables. Par contre, notre approche permet de mod eliser des syst` emes plus complexes, gr ace ` a la nature hi erarchique des BDMP, et constitue un bon moyen dapprofondir l etude de situations probl ematiques identi ees par des approches automatis ees.

5
5.1

Vers une approche syst ematis ee

Un retour au cadre r ef erentiel SEMA

Comme montr e en Section 3.3, les ev enements de s uret e et de s ecurit e peuvent etre combin es de multiples mani` eres dans des sc enarios pertinents pour une analyse de risques. Il peut sav erer dicile de couvrir une telle diversit e de situations de fa con rigoureuse et compl` ete. De plus, s uret e et s ecurit e peuvent etre consid er ees dans dautres perspectives que celles que nous avons ici adopt ees. Ces concepts peuvent en eet etre d enis de di erentes fa cons par rapport aux distinctions Malveillance-Accidentel (M-A) et Syst` eme-Environnement (S-E) introduites dans le Chapitre I. Le r ef erentiel SEMA qui y est expos e peut alors sav erer utile. En eet, en plus d eviter les ambigu t es terminologiques typiquement associ ees aux mots s uret e et s ecurit e, SEMA peut egalement etre vu comme une d ecomposition de lespace des risques de type s uret e et s ecurit e consid er es dun point de vue holistique. Le cas d etude choisi dans ce chapitre est trop simple pour tirer un b en ece clair de la d emarche associ ee ` a une telle d ecomposition, mais elle prend de lint er et pour des cas plus elabor es ; aussi, nous la d ecrivons ici rapidement. Dans un premier temps, le syst` eme est consid er e successivement selon les perspectives correspondant aux six notions du r ef erentiel SEMA. Dans chaque cas, des mod` eles BDMP sont construits ind ependamment, avec lappui des parties-prenantes et des sp ecialistes les plus appropri es selon le type de risque consid er e. Notons quune telle approche est en phase avec lavis dEames et Moet [26], et dans une certaine mesure celui de Leveson [18], pour qui les idiosyncrasies de la s uret e et de la s ecurit e, y compris dun point de vue m ethodologique, ne doivent pas etre dissoutes dans une approche uniformisante. Apr` es un tel d ecoupage, hybridations et int egrations des mod` eles BDMP produits (ou de certaines de leurs parties) peuvent etre consid er ees, permettant de couvrir de fa con incr ementale les interd ependances entre les sous-notions SEMA. Durant ce processus, l ev enement redout e peut varier : lobjectif de la d emarche nest en eet pas daboutir ` a un gros mod` ele unique, mais plut ot de construire un ensemble de mod` eles pertinents, couvrant au mieux la diversit e des sc enarios dinteractions entre s uret e et s ecurit e.

5.2

Appui ` a lidentication des eets de bord

Les mod` eles BDMP hybrides et int egr es permettent de mieux caract eriser les situations o` u s uret e et s ecurit e interagissent etroitement. Ils peuvent constituer un appui pr ecieux dans une analyse de risques couvrant les probl ematiques de s uret e et de s ecurit e [26, 27, 29]. Une fois les risques identi es et caract eris es, des d ecisions peuvent etre prises, quelles correspondent ` a des acceptations de risque, des d ecisions de r eduction de risque par mise en place de contre-mesures, ou toute autre alternative d ej` a discut ee dans le Chapitre II. Cependant, les mod` eles BDMP hybrides ou int egr es ne permettent pas didentier des eets de bord impr evus ou des d ependances cach ees qui aecteraient les contre-mesures mises en place : les interd ependances caract eris ees par lapproche d ecrite en Section 3 sont les interd ependances explicitement mod elis ees. Nous esquissons dans cette section une m ethode compl ementaire simple pour assister le concepteur dans ce but. Di erentes strat egies de r eduction de risque peuvent etre quanti ees et compar ees en changeant le param etrage des feuilles dans les mod` eles BDMP, mod elisant les eets de contre-mesures. An de rep erer des interd ependances cach ees, nous proposons de prendre compte de fa con plus explicite les composants 133

du syst` eme et leurs d ependances vis-` a-vis de contre-mesures evalu ees ind ependamment dans des mod` eles BDMP purs . La Figure IV.7 permet dexposer concr` etement cette proposition. La partie a) de la gure repr esente sch ematiquement les composants dun syst` eme qui correspond au SiS du cas d etude pr ec edent. Il est constitu e dun automate programmable (ou PLC, not e P), dun capteur (C) permettant la d etection de conditions anormales dans le ux de la canalisation, et dun actionneur (A) capable darr eter le ux en cas dincident. Le BDMP de la partie b) de la gure mod elise une d efaillance accidentelle dans une approche s uret e, tandis que le BDMP de la partie c) mod elise des sc enarios dattaque sur le SiS. Lapproche propos ee sappuie sur lajout ` a ces mod` eles des deux types dinformation suivants, repr esent es egalement sur la Figure IV.7 : sous chaque feuille, une liste des composants concern es par la feuille est indiqu ee. Pour le BDMP orient e s uret e, il sagit directement du composant mod elis e par la feuille ; pour le BDMP s ecurit e, la correspondance peut etre moins directe, m eme si le cas ici reste simple ; dans une notation similaire ` a celle propos ee par Bistarelli [318] pour les arbres de d efense et employ ee dans dautres r ef erences [332, 282], des bo tes en pointill e indiquent les contre-mesures imagin ees par lanalyste dans ses tentatives de r eduction de risque pour le mod` ele BDMP examin e. Ces bo tes sont reli ees graphiquement aux feuilles dont elles inuencent la valeur des param` etres, reet des eets des contre-mesures. Nous pouvons maintenant expliquer comment ces deux ajouts vont nous permettre didentier des interd ependances entre s uret e et s ecurit e. Supposons que lanalyse du BDMP orient e s uret e ait montr e que le risque de d efaillance accidentelle du SiS pouvait etre largement limit e par une r eduction du temps moyen de r eparation du PLC (param` etre de la feuille de d efaillance en op eration PLC). Une telle r eduction peut etre obtenue par une am elioration de la surveillance du composant et par une intervention plus rapide des experts. Dans cette optique, lanalyste propose d equiper le dispositif de surveillance du PLC dune connexion par modem sur le r eseau t el ephonique commut e (RTC) public. Cette proposition est repr esent ee par la bo te en trait pointill e positionn ee dans la Figure IV.7b) sous la feuille PLC. Avant toute d ecision, limpact dun tel changement peut etre analys e sur le BDMP orient e s ecurit e, en mettant a prot la liste des composants associ ` es ` a ses feuilles. Les eets du changement sont en eet estim es sur le BDMP s ecurit e pour toutes les feuilles mentionnant un lien avec le composant PLC. Concr` etement, une telle connexion conduit ` a une baisse du niveau de s ecurit e et ` a des param` etres de r eussite pour lattaquant plus elev es pour les feuilles Attaque de d enis de service sur lautomate, Changement des r eglages de seuil et Usurpation didentit e du capteur (en d esactivant par exemple un contr ole sur lautomate). Il est alors possible de prendre une d ecision quant au d eploiement du modem, sachant de fa con qualitative quil inuencera le niveau de s uret e et de s ecurit e du syst` eme, mais egalement, en prenant en compte les eventuelles analyses quantitatives associ ees, r ealis ees gr ace aux mod` eles BDMP. R eciproquement, lanalyse du BDMP s ecurit e peut mener au projet de d eployer une authentication entre le PLC et le capteur pour r eduire les possibilit es dusurpation (feuille Usurpation didentit e du capteur) : une d emarche similaire ` a celle pr ec edemment d ecrite permet didentier, et si n ecessaire de quantier, les impacts potentiels sur le BDMP s uret e.

6
6.1

Limites et perspectives
Bis repetita placent

Les BDMP constituant le socle de lapproche propos ee dans ce chapitre, nous retrouvons les limites, mais egalement les perspectives, enonc ees dans le Chapitre III d edi e ` a ce formalisme. Ainsi, la mod elisation de comportements cycliques reste d elicate, ce qui peut entraver la mod elisation de certains syst` emes particuliers et de sc enarios dattaques pr esentant des boucles. De plus, si lutilisation dun cadre markovien et plus globalement celle dune approche quantitative sont commun ement admises pour la caract erisation des aspects de s uret e, leur emploi pour les aspects s ecurit e m erite justications et pr ecisions. Elles sont d evelopp ees en III-6.1. La formalisation dun cadre elargi (renomm e BDSP dans le Chap. III) aurait dans le contexte du pr esent chapitre egalement tout son sens. De m eme, les limites et perspectives associ ees ` a lanalyse de sensibilit e des feuilles, discut ees en III-6.3.7, ont aussi une pertinence directe pour l etude des interactions s uret e-s ecurit e. Par ailleurs, les int egrations potentielles avec dautres formalismes graphiques mentionn ees en III-6.3.6 trouvent un int er et encore renforc e sous ce nouvel angle. En 134

a)

b)
Dfaillance accidentelle du SiS

SiS

OR
P A
! ! !

Dfaillance du capteur <C>

Dfaillance de lactionneur <A>

Dfaillance du PLC <P>

c)
Dsactivation malveillante du SiS Modem RTC

OR

OR
Usurpation didentit du capteur <C;P> Attaque de dnis de service sur lactionneur <A>

Authentification du capteur

Attaque de dnis de service sur lautomate (PLC)

Changement des rglages de seuil

<P>

<P>

Figure IV.7 Augmentation des mod` eles BDMP pour une meilleure identication des interd ependances

135

particulier, lint egration avec les r eseaux bay esiens enrichirait non seulement la d emarche de param etrage des BDMP mais aussi la m ethode didentication deets de bord propos ee dans la Section 5.2, en l etat strictement qualitative. Enn, lint egration avec les diagrammes de misuse case aurait egalement un attrait consolid e par lexistence dapproches bas ees sur UML et ses di erentes repr esentations graphiques en s uret e comme en s ecurit e [535, 536].

6.2

Am eliorations sp eciques aux mod` eles hybrides et int egr es

La Section 5 na fait quesquisser des am eliorations visant ` a syst ematiser dune part la couverture des interactions entre s uret e et s ecurit e, et dautre part lidentication de leurs eventuels eets de bord. Nous pr evoyons de mieux formaliser ces premiers d eveloppements, et les tester sur des mod` eles plus elabor es. Par ailleurs, la quantication des mod` eles int egrant ` a la fois composants r eparables et prise en compte des quatre modalit es de d etection/r eaction (IEFA) n ecessitent des ajustements dun point de vue algorithmique : lalgorithme SN (cf. III-5.1.2), utilis e pour traiter les mod` eles pr esent es dans ce m emoire, nest en eet plus adapt e aux caract eristiques du processus de Markov sous-jacent dans ce cas. Lad equation des autres algorithmes mis ` a disposition par la plate-forme KB3 reste ` a etudier : les transitions retours impliqu ees par les r eparations, mais aussi par les d etections a posteriori, coupl ees ` a une r epartition des temps de s ejour sp ecique au m elange d ev enements s uret e et s ecurit e, rendent la situation particuli` ere par rapport aux hypoth` eses retenues pour le traitement de mod` eles par KB3 en s uret e de fonctionnement. Ceci-dit, il est toujours possible de quantier les mod` eles par simulation de Monte-Carlo.

6.3

Une contribution ` a int egrer avec dautres approches

La Section 4 a permis de mieux situer notre contribution par rapport ` a l etat de lart du domaine. Elle semble compl ementaire ` a la grande majorit e des contributions identi ees. En eet, la mod elisation par BDMP pourrait permettre dapprofondir des situations identi ees par des d emarches de plus haut niveau comme celles mentionn ees en Section 2.1. Elle pourrait egalement compl eter les analyses et appuyer des choix darchitecture discut es dans les contributions plus cibl ees de la Section 2.2. Enn, elle serait avantageusement coupl ee avec des approches de type model-checking , dans lesprit de celles evoqu ees en Section 2.3, permettant dexplorer de fa con plus syst ematique les interactions entre aspects s uret e et s ecurit e. En l etat actuel, le nombre de sc enarios couvert par notre approche est dune part tr` es d ependant des comp etences et de la rigueur de lanalyste ; il se limite dautre part aux interactions explicitement mod elis ees par celui-ci. Le rapprochement avec les approches de model-checking pourrait b en ecier des travaux de Chaux [537], qui sint eresse aux apports du model-checking pour lanalyse qualitative des BDMP, et qui se poursuivent actuellement ` a travers une th` ese ` a EDF R&D. Globalement, ces di erentes compl ementarit es, identi ees a priori, restent ` a explorer an de mieux cibler les int egrations les plus prometteuses, et dinitier leur concr etisation.

Conclusion

La polyvalence des BDMP permet dint egrer ev enements accidentels et actions malveillantes dans un m eme mod` ele dynamique, facilitant la caract erisation des interd ependances entre s uret e et s ecurit e. Nous avons, ` a travers un cas d etude simple, identi e di erents types de situations o` u sentrem elent s uret e et s ecurit e, et avons montr e comment les capacit es de mod elisation et de quantication des BDMP permettaient de les analyser. De plus, lapproche propos ee sinscrit de fa con tr` es compl ementaire avec les travaux d ej` a men es sur linterd ependance entre s uret e et s ecurit e. Une exploration m ethodique de ces compl ementarit es constitue une perspective engageante vers une ma trise n ecessaire de cette probl ematique encore largement ouverte.

136

Conclusion g en erale
Rappel des objectifs de la th` ese
Historiquement s epar ees, s uret e et s ecurit e sont aujourdhui devenues deux probl ematiques intimement li ees. Les disciplines associ ees ont chacune d evelopp e ind ependamment di erentes approches et m ethodes. Depuis les ann ees 80, les trop rares initiatives de d ecloisonnement, adaptant notamment des outils dun domaine ` a lautre, ont abouti ` a des r esultats convaincants. Cependant, ce d ecloisonnement reste encore timide et le potentiel des adaptations consid erable. De plus, la r ecente convergence de risques de s ecurit e et de s uret e impliquent des interactions in edites entre exigences et mesures auparavant ind ependantes, dont la caract erisation implique une perspective globale. Dans ces conditions, nos travaux de th` ese ont dabord vis e` a mieux cerner les notions de s uret e et de s ecurit e, sur le fond comme sur la forme, pour contribuer au d ecloisonnement n ecessaire des communaut es du risque. Nous avons ensuite voulu tirer parti de la compl ementarit e des outils de chaque domaine pour faire progresser l etat de lart sur les aspects pour lesquels le potentiel de fertilisation crois ee nous semblait le plus prometteur. Enn, nous d esirions contribuer au d e de la mod elisation des nouvelles situations o` u risques s uret e et risques s ecurit e p` esent conjointement sur les m emes syst` emes. Chacun de ces objectifs sinscrit dans une perspective d epassant le cadre de cette th` ese, appelant ` a une indispensable intensication du mouvement de rapprochement entre s uret e et s ecurit e.

Principales contributions
Ces contributions peuvent etre regroup ees en trois points : Le cadre r ef erentiel SEMA. Un panorama des normes et de la litt erature scientique am` ene a plusieurs dizaines de d ` enitions di erentes des termes s ecurit e et s uret e. Ces di erences vont de l eg` eres nuances jusqu` a de compl` etes inversions selon les domaines consid er es ; elles sont ` a lorigine de nombreux equivoques et incompr ehensions. Nous avons elabor e un outil conceptuel d enomm e SEMA (Syst` eme-Environnement Malveillant-Accidentel) orant un cadre de r ef erence positionnant ces concepts lun par rapport ` a lautre selon leur contexte dutilisation, et rendant explicites les di erences de signication cach ees derri` ere lemploi de ces termes en apparence anodins. De plus, SEMA permet de souligner les eventuelles incoh erences ou recouvrements dans les d enitions existantes, et de consid erer les risques de s uret e et de s ecurit e dun point de vue holistique pour assurer une meilleure couverture des analyses. Ces travaux ont fait lobjet de deux publications en conf erence [36, 128] et dun article de journal [37]. Ladaptation du formalisme BDMP en s ecurit e. Un etat de lart des outils d evaluation en s uret e et s ecurit e, appuy e par linventaire des adaptations d ej` a men ees entre les deux domaines, nous ont conduits ` a explorer plus particuli` erement les mod elisations graphiques dattaques. Lexistant, bien que foisonnant, manquait dun formalisme orant un juste compromis entre prise en compte du caract` ere dynamique des attaques, lisibilit e et capacit es daide ` a la d ecision. Ladaptation des BDMP (Boolean logic Driven Markov Processes ), issus du domaine des etudes de abilit e et de s uret e, au domaine de la s ecurit e permet de d epasser bien des limites inh erentes aux techniques classiques de mod elisation dattaques. Laspect visuel des BDMP, proche de celui des arbres dattaque, h erite de leur lisibilit e et de leur facilit e dappropriation. Cependant, les capacit es de mod elisation des BDMP sont bien sup erieures, prenant en compte d ependances simples 137

et caract eristiques dynamiques. Par ailleurs, leurs propri et es math ematiques permettent une identication et une quantication temporelle ecaces des sc enarios mod elis es. En plus du travail de transposition du formalisme, nous avons etendu ses bases th eoriques pour y int egrer des notions de s ecurit e telles que d etection et r eaction. Ladaptation des BDMP ` a la s ecurit e a enn et e concr etis ee dans une mise en uvre logicielle op erationnelle. Ces travaux ont fait lobjet de trois articles de conf erence [480, 464, 479]. La caract erisation et l etude des interd ependances s uret e-s ecurit e avec les BDMP. Ladaptation des BDMP ` a la s ecurit ea et e mise ` a prot pour servir de formalisme de mod elisation int egrateur, permettant de capturer graphiquement et caract eriser des situations relevant ` a la fois de la s ecurit e et de la s uret e. Nous avons montr e comment cette approche se positionnait dans l etat de lart et en quoi ses sp ecicit es et ses capacit es de quantication en faisaient un outil dint er et dans l etude des interd ependances entre s uret e et s ecurit e. Ces travaux ont fait lobjet dun article de conf erence [25].

Bilan et perspectives
Si les trois contributions pr ec edemment expos ees r epondent aux objectifs de notre th` ese, elles ne pr etendent pas le faire de fa con compl` ete et d enitive. Pour chacune dentre elles, di erentes limites et pistes dam elioration ont ainsi pu etre identi ees, ouvrant la voie ` a de futurs d eveloppements. Certaines correspondent ` a des travaux cibl es et sont susceptibles daboutir ` a des r esultats ` a court terme dans la continuit e de cette th` ese ; dautres sinscrivent dans des horizons plus larges, combinant d ecloisonnement des communaut es s uret e et s ecurit e et ma trise de la convergence de ces probl ematiques. Nos contributions ne peuvent alors y etre consid er ees que comme des briques el ementaires. Nous synth etisons ici les di erentes perspectives evoqu ees au l des chapitres du m emoire et donnons ainsi une vision globale des pistes ouvertes par ces travaux : les premi` eres utilisations de SEMA ont permis de recueillir di erentes suggestions et didentier plusieurs evolutions potentielles. Nous ne mentionnons ici que les deux principales. La premi` ere rel` eve plut ot dune extension de son p erim` etre dapplication : si celui-ci a et e d eni par et pour une analyse concernant les termes s uret e et s ecurit e, il pourrait egalement sav erer utile pour expliciter des termes connexes, ayant des signications changeantes selon les contextes comme les mots s uret e et s ecurit e, ou mettre en evidence des concepts au contraire communs ` a di erents domaines, mais faisant lobjet dappellations disparates (e.g. menace , danger , vuln erabilit e ). La seconde perspective correspond ` a une evolution plus profonde puisquelle consiste ` a distinguer dans le r ef erentiel SEMA dimension physique et dimension informatique. En outre, lobjectif serait daner la d ecomposition des types de risques couverts par les termes s uret e et s ecurit e pour re eter les attributs de la s ecurit e informatique (condentialit e, int egrit e, disponibilit e) et lever les ambigu t es y attenant (notamment pour les notions dint egrit e et de disponibilit e, employ ees egalement en s uret e de fonctionnement pour les syst` emes classiques ou informatiques) ; si nous nous sommes attach es ` a mener ` a bien la transposition des BDMP ` a la s ecurit e, l etat de lart du Chapitre II nous a conduits ` a lidentication dautres pistes dadaptation prometteuses entre outils du domaine de la s uret e et outils de la s ecurit e. Tout dabord, dune fa con g en erale, la grande majorit e des adaptations ont et e men ees ` a partir de la s uret e vers la s ecurit e : la d emarche ` titre dexemple, les mod` inverse pr esente un potentiel encore relativement peu explor e. A eles formels et les m ethodes danalyse de risques constituent deux th ematiques pour lesquelles la s uret e pourrait avantageusement puiser de nouvelles id ees de la s ecurit e et enrichir ses propres outils. R eciproquement, la s ecurit e a encore beaucoup ` a apprendre de la s uret e. Les mod` eles graphiques, employ es et an es depuis les ann ees 60 en s uret e, constituent un gisement dinspirations encore loin d etre tari. Ladaptation des BDMP en est une bonne illustration, mais dautres formalismes graphiques peuvent sav erer pertinents en s ecurit e. En particulier, les approches d eductives, de type arbres d ev enements, ou int egrant raisonnements inductifs et d eductifs, comme lanalyse CauseCons equence, nont pas encore et e attentivement consid er ees en s ecurit e informatique. Pourtant, elles y trouveraient une place utile en mod elisant les cons equences associ ees aux sc enarios dattaque a l ` etude ; 138

 ladaptation et lextension des BDMP men ees dans cette th` ese ont abouti ` a un formalisme d ej` a op erationnel, mais pour lequel di erentes evolutions et am eliorations ont pu etre identi ees. Sur le plan th eorique dabord, lutilisation de lois exponentielles pourrait etre compl et ee par dautres types de mod elisations stochastiques en g en eralisant les BDMP en BDSP (Boolean logic Driven Stochastic Processes ). Par ailleurs, la d enition des param` etres pourrait sappuyer sur des el ements de th eorie des jeux, re etant de fa con plus formelle les int er ets de lattaquant et/ou du d efenseur du syst` eme ; elle pourrait egalement impliquer lemploi de nombres ous, mod elisant lincertitude sur la valeur des param` etres. La logique oue pourrait egalement intervenir ` a travers des portes logiques sp eciques, traduisant alors lincertitude sur le nombre ou la nature des actions ` a r ealiser pour un objectif dattaque donn e. Enn, les BDMP sint egreraient avantageusement avec dautres formalismes graphiques, dont les misuse cases et les r eseaux bay esiens. Cette derni` ere piste nous semble particuli` erement pertinente. Sur un plan plus appliqu e, nous avons pr evu de faciliter lutilisation des BDMP en s ecurit e par la constitution dune biblioth` eque de motifs dattaques facilitant la construction des mod` eles. Nous comptons egalement enrichir les outils danalyse et daide ` a la d ecision pour mieux exploiter les mod` eles. Un tel enrichissement passera notamment par la mise ` a prot du bool een de d etection pour fournir de nouveaux types de quantication, et par la r ealisation doutils d etude de sensibilit e visant ` a identier plus ecacement les el ements et param` etres cl es vis-` a-vis des objectifs de lanalyse ; si les BDMP permettent de caract eriser de fa con in edite des situations o` u enjeux de s uret e et de s ecurit e se c otoient, la nesse et la compl etude des mod elisations restent dans l etat de nos travaux tr` es d ependantes de lanalyste. SEMA pourrait contribuer ` a syst ematiser lapproche et ` a construire des mod` eles de telle sorte que les di erentes facettes des risques de s uret e et de s ecurit e ainsi que leurs interactions soient couvertes. De plus, lidentication des eventuels renforcements ou antagonismes dans ce processus na et e trait ee que par une proposition relativement el ementaire que nous projetons de formaliser et de tester de fa con plus approfondie. Plus globalement, la mod elisation par BDMP semble etre compl ementaire avec les d emarches de plus haut niveau (e.g. SafSec ) et avec celles reposant sur des techniques de type model-checking identi ees durant nos travaux. Lexploration eective de ces compl ementarit es reste ` a mener ; enn, durant nos recherches sur les adaptations m ethodologiques entre s uret e et s ecurit e, nous avons pu rep erer, au del` a des formalismes graphiques pr ec edemment evoqu es, dautres approches susceptibles de contribuer ` a l etude de leurs interd ependances. En fait, toutes les techniques danalyse de risques et de mod elisation ayant et e adapt ees dun domaine ` a lautre pr esentent un potentiel evident pour int egrer consid erations de s uret e et de s ecurit e. On peut ainsi mentionner HAZOP, lAMDEC ou encore la notation GSN. De telles approches int egratives (encore inexplor ees ` a notre connaissance pour les trois exemples cit es), aboutiraient certainement ` a des r esultats compl ementaires ` a notre proposition reposant sur les BDMP. Enn, des langages de mod elisation informatique g en eriques comme UML ou plus sp ecialis es comme AADL nous paraissent egalement de bons candidats pour l etude des interd ependances entre s uret e et s ecurit e. En particulier, AADL a d ej` a et e adapt e ` a la s uret e de fonctionnement [246] et employ e pour mod eliser des politiques de s ecurit e informatique [538] ; la convergence des deux aspects semble donc etre une perspective s eduisante, dont les premi` eres explorations viennent d etre initi ees [539]. Les travaux pr esent es dans ce m emoire ont ainsi conduit ` a lidentication de nombreuses perspectives, allant de la continuation directe de nos recherches ` a lexploration de voies alternatives. Dans tous les cas, elles ne se concr etiseront et prendront tout leur sens que si les communaut es de la s uret e et de la s ecurit e accentuent leur rapprochement, dont cette th` ese se veut ` a la fois une manifestation et une invitation.

139

140

Annexe A

Notes sur les r ef erentiels de conformit e et les certications en s ecurit e

Historique
Lemploi de r ef erentiels de conformit e et de certication (d esign es aussi par approches par crit` eres ) a un riche historique en mati` ere de s ecurit e informatique. Comme le rapporte Dacier [257], on peut situer ses origines au rapport Ware [248], qui en 1970 regroupa les conclusions dun groupe de travail anim e par le d epartement de la D efense etats-unien (DoD) d` es 1967 sur les nouvelles probl ematiques pos ees par le traitement informatis e dinformations sensibles. Parmi les diverses conclusions et recommandations, dune actualit e encore surprenante, certaines aboutirent en 1983 aux crit` eres TCSEC (Trusted Computer Security Evaluation Criteria ) auxquels devaient se conformer les syst` emes informatiques du DoD. Il faut attendre le d ebut des ann ees 90 pour trouver des d emarches similaires ou am elior ees dans les autres pays (ITSEC en Europe, JCSEC au Japon ou CTCPEC au Canada) [386]. Au d ebut des ann ees 90, les Etats-Unis proposent une nouvelle approche, nomm ee Federal Criteria (FC), qui introduit le concept de prol de protection. Sous l egide de lISO, les di erentes initiatives sont ensuite rapproch ees, confront ees et donnent naissance en 1996 ` a la premi` ere version des Crit` eres Communs (CC) aujourdhui dans leur troisi` eme version majeure.

Les Crit` eres Communs

Les CC constituent la norme mondiale de r ef erence pour l evaluation des produits de s ecurit e. Document es dans lIEC/ISO 15408 [258], leur formalisme lourd et complexe distingue notamment : la cible d evaluation (ToE, pour Target of Evaluation ), qui d ecrit le p erim` etre du produit ` a certier. Les exigences fonctionnelles de s ecurit e` a evaluer, qui caract erisent la ToE en termes de fonctions de s ecurit e soumises ` a lanalyse, sont choisies dans un catalogue normalis e; le prol de protection (PP, pour Protection Prole ), qui correspond ` a un ensemble type dexigences de s ecurit e pour une cat egorie de produits (e.g. coupe-feu, cartes ` a puce, etc.). Si les exigences el ementaires sont d enies dans la norme, leur assemblage peut etre fait de multiples mani` eres. Il existe ainsi de tr` es nombreux PP, g en eralement propos es par les organismes gouvernementaux ; la cible de s ecurit e (ST, pour Security Target ), qui adapte sp eciquement un ou plusieurs PP au produit evalu e en pr ecisant les menaces et les objectifs de s ecurit e pris en compte dans l evaluation ; le niveau dassurance d evaluation (EAL, pour Evaluation Assurance Level ). Les Crit` eres Communs en d enissent sept, qui assemblent de fa con cumulative des paquets dassurance normalis es permettant de donner un niveau de conance croissant au processus d evaluation. La Table A.1 les pr esente sommairement. 141

Table A.1 les 7 niveaux dassurance d evaluation des CC

EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7 Test e fonctionnellement Test e structurellement Test e et v eri e m ethodiquement Con cu, test e et v eri e m ethodiquement Con cu de fa con semi-formelle et test e Conception v eri ee de fa con semi-formelle et test ee Conception v eri ee de fa con formelle et test ee

Les evaluations CC sont men ees par des centres d evaluation sp ecialis es, agr e es au niveau de chaque etat ; les certicats d elivr es sont alors reconnus par tous les signataires dun trait e de reconnaissance mutuelle, le CCRA 1 . La lourdeur et la complexit e du processus ont eveill e de nombreuses critiques [260]. Le co ut et la dur ee des certications ont pouss e certains pays comme la France ` a proposer en compl ement des CC des sch emas de certication alternatifs all eg es (CSPN 2 ). Soulignons pour nir que si le domaine dapplication des CC nest plus limit e aux syst` emes militaires ou gouvernementaux, ils ne concernent par contre que les produits en charge de fonction de s ecurit e.

Autres r ef erentiels
En parall` ele du d eveloppement des Crit` eres Communs, dautres r ef erentiels plus sectoriels ont vu le jour : on peut citer notamment les certications VISA ou EMV bien etablies dans le domaine bancaire. Plus r ecemment, des sch emas de certication pour la s ecurit e des syst` emes dinformatique industrielle ont fait leur apparition (e.g. ISA Secure [259] d ecrit ci-dessous, ou encore les certications Achille 3 de la soci et e Wurldtech). Encore balbutiantes, il est pour linstant d elicat de juger de leur pertinence. Elles gagneront dans tous les cas ` a eviter les pi` eges et dicult es rencontr es par leur pr ed ecesseurs comme les CC [260].

Certication ISA Secure

Le programme de certication ISA Secure sappuie sur un consortium industriel et sur la s erie de normes ISA 99 [112]. La premi` ere certication s ecurit e, lanc ee n 2009 et nomm ee EDSA 4 , vise les syst` emes embarqu es utilis es dans linformatique industrielle [259]. La certication EDSA distingue trois niveaux dassurance de s ecurit e, prenant en compte l evaluation de trois aspects : la robustesse de la pile de communication (dont les exigences sont communes aux trois niveaux), le cycle de d eveloppement du produit, et les fonctions de s ecurit e mises en uvre par le produit. Les exigences sont croissantes avec les niveaux sur ces deux derniers aspects.

1. 2. 3. 4.

Common Criteria Recognition Arrangement (CCRA)[540]. Certication de S ecurit e de Premier Niveau (CSPN)[541]. http://www.wurldtech.com/cyber-security/achilles-certification/achilles-certification.aspx Embedded Device Security Assurance (EDSA, http://www.isasecure.org).

142

Annexe B

Notes sur les mod` eles formels de politique de s ecurit e

Politiques et mod` eles de contr ole dacc` es
Avertissement. Nous ne donnons dans cette annexe quun aper cu de ce vaste domaine. Le lecteur int eress e pourra se r ef erer ` a [383, 384, 382] pour une vue plus compl` ete et plus approfondie. ements historiques et notions fondamentales. Les TCSEC, El evoqu es dans le Chapitre II Section 2.3.2 et dans lAnnexe A, ont introduit divers concepts fondamentaux en termes de politique de s ecurit e et de mod` eles formels. En outre, ils distinguaient deux cat egories de politiques de contr ole dacc` es : les politiques de type discr etionnaire (commun ement d esign ees par lacronyme DAC, pour leur d esignation en anglais Discretionnary Access Control ) et les politiques dacc` es de type obligatoire, aussi parfois appel ees politiques par mandat ou mandataires (et commun ement d esign ees par lacronyme MAC, pour Mandatory Access Control ). De fa con simpli ee, dans la premi` ere, les droits dacc` es sont sp eci es individuellement par les propri etaires des ressources et peuvent etre transmis, alors que dans la seconde, ils sont attribu es par une autorit e globale au syst` eme sur la base de niveaux de sensibilit e des ressources consid er ees. La mise en uvre la plus courante des politiques MAC correspond ` a la politique dite multi-niveaux (ou MLS pour Multi-Level Security ) ; elle consiste ` a attribuer des niveaux de s ecurit e aux ressources, et g erer leur acc` es par un syst` eme dhabilitation. Les TCSEC imposaient ce type de politique pour les niveaux de s ecurit e les plus elev es du r ef erentiel, et le caract erisaient par une mod elisation formelle d enie par Bell et Lapadula quelques ann ees plus t ot [542]. Il sagit dun des premiers exemples de mod elisation de politique de contr ole dacc` es, permettant de v erier formellement que des r` egles de contr ole dacc` es respectent la politique choisie. Bell-Lapadula (BLP). Ce mod` ele repris par les TCSEC est un mod` ele de politique de contr ole dacc` es obligatoire, orient e condentialit e. Il repose sur une machine ` a etats permettant de sassurer quune politique de droits dacc` es donn ee, repr esent ee sous la forme dune matrice statique, ne laisse pas des informations class ees ` a un niveau de condentialit e donn e etre accessibles par des sujets ayant une habilitation dacc` es dun niveau inf erieur. On v erie pour cela les propri et es dites no-read-up (ou ss-, pour simple security ), no-write-down (*-), et de contr ole dacc` es discr etionnaire (ds-). La premi` ere correspond ` a linterdiction pour un sujet de lire un objet classi e ` a un niveau dhabilitation sup erieur ` a son propre niveau dhabilitation ; la seconde lui interdit d ecrire dans un objet classi e ` a un niveau inf erieur ` a sa propre habilitation ; la troisi` eme correspond simplement au respect des droits indiqu es dans la matrice de contr ole dacc` es, sp eciant les droits des sujets en lecture et en ecriture pour tous les objets du syst` eme. H elas, BLP permet de ne traiter que des droits dacc` es statiques, uniquement dans une optique de condentialit e, et ne rend pas compte d eventuels canaux cach es (un refus dacc` es conforme ` a BLP peut par exemple informer de lexistence m eme dun objet). La Figure B.1 illustre de fa con simpli ee les acc` es permis, dans la partie a), et les acc` es interdits, dans la partie b), dune politique de contr ole dacc` es type BLP.

143

a) S2 Ecriture O2

b) S2 O2

Lecture Niveau n+k Read-down ... Write-up

Write-down

Read-up

Niveau n Ecriture S1

Lecture

O1

S1

O1

Figure B.1 Lecture/ ecriture entre sujets et objets hauts et bas

Biba. Le mod` ele de Biba [543] (1977) transpose lapproche BLP, avec ses d efauts, ` a des objectifs dint egrit e ; il sappuie sur la v erication de propri et es invers ees par rapport ` a celui-ci, de type no-readdown et no-write-up, permettant de sassurer que des informations propres de niveau elev e ne peuvent etre corrompues par des informations sales de niveau inf erieur. Mod` eles de politique discr etionnaire ` a base de matrices de contr ole dacc` es. Les mod` eles de Graham-Denning [544] (1971) puis de Harrison-Ruzzo-Ullman (dit HRU, 1976) [545] sont des mod` eles de politique discr etionnaires, permettant de prendre en compte les changements de droits, la cr eation et la destruction dobjets. Ils introduisent pour cela de nouvelles propri et es (dont une d enomm ee safety pour HRU, avec une signication encore di erente de celles discut ees dans le Chapitre I) mais qui ne peuvent plus etre syst ematiquement prouv ees, certaines situations devenant ind ecidables. Dans le m eme type dapproches, on peut aussi citer Take & Grant (1977)[546], bas ee sur des graphes orient es, et TAM (Typed Access Matrix, 1992) [547], largement inspir ee de HRU. Clark-Wilson. Plus tardivement, le mod` ele de Clark-Wilson [548] (1987), egalement orient e int egrit e et con cu pour les applications commerciales, propose de fa con moins formelle mais plus souple des v erications du m eme ordre que celles permises par les mod` eles du pr ec edent paragraphe. Muraille de Chine. Parmi les grands classiques des mod` eles de contr ole dacc` es, on peut encore citer le mod` ele de la Muraille de Chine (1989) [549] qui permet de v erier quaucune information susceptible de provoquer des conits dint er et ne circule. Il est particuli` erement adapt e aux organisations manipulant des donn ees a ` caract` ere commercial ou nancier. Role-Based Acces Control (RBAC). Dans le mod` ele RBAC (Role-based Acces Control ) [550], les droits dacc` es ne sont plus directement rattach es aux utilisateurs, mais ` a des r oles abstraits, d enissant un prol type etabli par rapport ` a une fonction donn ee dans lorganisation. Les utilisateurs sont ensuite rattach es ` a un ou plusieurs r oles au gr e de leurs evolutions dans lorganisation, evitant davoir ` a red enir pour chaque utilisateur la liste compl` ete des droits dacc` es lors dun changement. Organization-Based Access Control (OrBAC). Le mod` ele OrBAC, plus r ecent (2003), est centr e sur le concept dorganisation. Il sappuie sur les concepts de r oles du mod` ele RBAC, mais aussi dactivit es, de vues et dorganisations, correspondant aux abstractions des actions possibles dans le syst` eme et de ses objets. OrBAC permet de d enir dynamiquement les droits dacc` es selon des notions de contextes et autorise la d enition de permissions, mais egalement dinterdictions et dobligations. 144

Mod` eles dautorisation ` a base de ux et de traces dex ecution. Ces mod` eles ont et e initialement elabor es pour r epondre aux limites des mod` eles ` a base de matrices dacc` es ou de treillis comme BLP et Biba, qui en limitant lanalyse aux notions de sujets et dobjets ne permettaient pas de prendre en compte lexistence de canaux cach es. La vue ici adopt ee est plus g en erale que dans les mod` eles pr ec edents, int egrant les notions de ux dinformation et de comportement global du syst` eme (par une formalisation de ses etats successifs sous la forme dune trace dex ecution). Historiquement, la propri et e de non-interference , introduite par Goguen et Meseguer [440] en 1982, joue un r ole fondamental. Elle inaugure une s erie de mod` eles, compl ementaires a ceux d ` ej` a mentionn es, bas es sur la notion dinformation-ow [551]. La non-interference correspond ` a lid ee suivante : un utilisateur A interf` ere avec un utilisateur B dans un syst` eme si et seulement si les actions de A sur le syst` eme peuvent aecter ce que B peut observer ou faire de celui-ci. Dans un environnement multi-niveaux, la non-interference correspond globalement au fait que les utilisateurs dun niveau donn e ne doivent rien pouvoir conna tre de lactivit e des utilisateurs des niveaux sup erieurs. Sappuyant sur des bases proches de celles de BLP, la propri et e de non-interference formalise ceci-dit une politique de s ecurit e plus contraignante, garantissant notamment labsence de canaux cach es. Si elle est consid er ee aujourdhui par certains comme pr ehistorique [552], elle a depuis donn e jour ` a de nombreuses autres propri et es pour certaines directement d eriv ees en all egeant ou nuan cant la contrainte exprim ee, pour dautres plus eloign ees (on peut citer ainsi la non-deduciblity, la correcteability, la causality, la noninuence, la non-inference...). Focardi et Gorrieri formalisent et comparent une douzaine de ces propri et es dans [553]. Elles se distinguent par lexigence s ecurit e mod elis ee, mais aussi par le formalisme utilis e ou par exemple leur facilit e` a etre compos ee, ou encore ` a prendre en compte des syst` emes non-d eterministes. Ryan propose dans [554] une bonne synth` ese permettant de saisir la philosophie g en erale de ces di erentes propri et es.

Mod` eles cryptographiques

La cryptographie moderne, construite sur des bases math ematiques rigoureuses, constitue un sousdomaine particulier des techniques de s ecurit e ; mod` eles d evaluation et preuves th eoriques y sont tr` es avanc es et sans doute mieux structur es quailleurs. Les propri et es attendues de primitives cryptographiques, que ce soit pour le chirement sym etrique, asym etrique, ou la signature electronique, sont d enies en rapport ` a leur r esistance aux attaques permettant de casser lalgorithme plus ecacement que par recherche exhaustive. Si l evaluation de cette r esistance peut se limiter dans certains cas au constat quaucune attaque signicative na pu etre propos ee par la communaut e mondiale de la cryptanalyse (e.g. pour RSA et AES, les deux standards de fait), elle peut etre dans certains cas formalis ee dans un syst` eme de preuves th eoriques. Les propri et es font alors lobjet dune nomenclature commun ement admise. A titre dexemple, pour les sch emas de cryptographie asym etrique, on distingue les propri et es suivantes : One-Wayness (OW) : il est impossible de retrouver le clair 1 sans la cl e priv ee ; Indistinguishability (IND) / Semantic Security : ladversaire ne peut pas obtenir de linformation dun message chir e, m eme sil sait quil a et e choisi parmi plusieurs messages clairs connus de lui ; Non-Malleability (NM) : un attaquant ne peut pas cr eer un nouveau message signiant en fonction dun message chir e; Chosen-Plaintext Attacks (CPA) Resistance : lattaquant peut chirer nimporte quel message avec la cl e publique ayant chir e le message attaqu e; Adaptive Chosen Ciphertext Attacks (CCA) Resistance : lattaquant a acc` es ` a un oracle de d echirement, pouvant chirer ` a sa guise tout message, avant dattaquer le chir e cibl e (CCA1) ou m eme apr` es (CCA2). Ces propri et es sont articul ees et hi erarchis ees dans la Figure B.2. On retrouve des syst` emes de propri et es equivalents pour la signature electronique (avec la notion de forge universelle, ou existentielle) et le chirement sym etrique, loin de la situation confuse d ecrite
1. Le clair d esigne en cryptographie le message non-chir e, par opposition au chir e .

145

NM-CPA

NM-CCA1

NM-CCA2

IND-CPA

IND-CCA1

IND-CCA2
Scurit forte

OW-CPA
Scurit faible

Scurit minimale

Figure B.2 Propri et es cryptographiques prouvables pour le chirement asym etrique (dapr` es [555])

pr ec edemment pour les mod` eles formels de politique s ecurit e. Pour le lecteur int eress e, Pointcheval propose un cours complet sur le sujet [555]. Notons toutefois que, en cryptographie, les preuves des propri et es evoqu ees reposent g en eralement sur des mod` eles id ealis es par rapport aux impl ementations r eelles : le hachage y est par exemple remplac e par une fonction dal eas (random oracle model ) et le chirement par blocs par une permutation strictement al eatoire (ideal cipher model ). Si la d emonstration de ces propri et es dans de tels mod` eles est incontestablement utile pour am eliorer les sch emas cryptographiques, elle ne peut pas etre consid er ee comme susante pour garantir de fa con absolue la s ecurit e de sch emas cryptographiques dans leur d eclinaison r eelle [556], nonobstant les failles de mise en uvre logicielle. Plus g en eralement, ces preuves ne doivent pas faire oublier que les m ecanismes cryptographiques, aussi solides soient-ils, ne constituent quun el ement parmi de nombreux autres dans la cha ne de mesures techniques et organisationnelles n ecessaires au maintien dun niveau satisfaisant de s ecurit e.

146

Annexe C

Donn ees num eriques des etudes de sensibilit e

Donn ees utilis ees pour tracer la courbe de la Figure III.19, p. 96 :
MTTS (jrs) 60 54 50 46 42 38 34 30,4 26 22 18 14 10 6 2 Feuille Force brute Ps 0 / 1,93107 3,53101 2,14107 3,61101 2,31107 3,68101 2,52107 3,76101 2,76107 3,85101 3,05107 3,95101 3,40107 4,08101 3,80107 4,22101 4,45107 4,45101 5,26107 4,71101 6,43107 5,07101 8,27107 5,59101 6 1,1610 6,39101 1,93106 7,74101 6 5,7910 9,78101 (M T T S/M T T S0 ) 1,97 1,77 1,64 1,51 1,38 1,25 1,12 1,00 8,54101 7,23101 5,91101 4,60101 3,29101 1,97101 6,57102

Donn ees utilis ees pour tracer la courbe de la Figure III.20, p. 96 :

MTTS (h) 96 90 84 78 72 66 60 54 48 42 36 30 24 18 12 6 Feuille Pr eparation de la charge Ps 0 / (M T T S/M T T S0 ) 2,89106 4,18101 2,00 3,09106 4,18101 1,87 3,31106 4,19101 1,75 3,56106 4,19101 1,63 3,86106 4,20101 1,50 4,21106 4,20101 1,38 4,63106 4,21101 1,25 5,14106 4,22101 1,13 5,79106 4,22101 1,00 6,61106 4,23101 8,75101 7,72106 4,25101 7,50101 9,26106 4,26101 6,25101 5 1 1,1610 4,2810 5,00101 1,54105 4,30101 3,75101 2,31105 4,32101 2,50101 4,63105 4,36101 1,25101

147

 Donn ees utilis ees pour tracer la courbe de la Figure III.21, p. 97 :

MTTS (h) 48 44 40 36 32 28 24 20 16 12 8 4 1 Feuille Reconnaissance g en erique Ps 0 / (M T T S/M T T S0 ) 5,79106 3,91101 2,00 6,31106 3,95101 1,83 6,94106 4,00101 1,67 7,72106 4,05101 1,50 8,68106 4,10101 1,33 9,92106 4,16101 1,17 1,16105 4,22101 1,00 1,39105 4,30101 8,33101 1,74105 4,38101 6,67101 2,31105 4,47101 5,00101 3,47105 4,57101 3,33101 5 1 6,9410 4,6810 1,67101 2,78104 4,77101 4,17102

Donn ees utilis ees pour tracer la courbe de la Figure III.22, p. 97 :

MTTS (h) 48 44 40 36 32 28 24 20 16 12 8 4 1 Feuille Installation locale du keylogger Ps 0 / (M T T S/M T T S0 ) 5,79106 4,01101 2,00 6,31106 4,04101 1,83 6,94106 4,07101 1,67 7,72106 4,10101 1,50 8,68106 4,14101 1,33 9,92106 4,18101 1,17 1,16105 4,22101 1,00 1,39105 4,28101 8,33101 1,74105 4,34101 6,67101 5 1 2,3110 4,4110 5,00101 3,47105 4,49101 3,33101 5 1 6,9410 4,5910 1,67101 2,78104 4,67101 4,17102

Les Figures III.23 et III.24 p. 98 ont et e trac ees gr ace aux donn ees consign ees dans les colonnes /0 des quatre tableaux pr ec edents. Donn ees utilis ees pour tracer la courbe de la Figure III.25, p. 99 :
Feuille Utilisateur pi eg e Ps 0 2,64101 0,1 3,12101 0,2 3,60101 0,3 4,08101 0,4 4,56101 0,5 5,04101 0,6 5,52101 0,7 6,00101 0,8 6,49101 0,9 6,97101 1 7,45101 Feuille Bonne ex ecution de la charge Ps 0 4,07101 0,1 4,22101 0,2 4,38101 0,3 4,54101 0,4 4,70101 0,5 4,85101 0,6 5,01101 0,7 5,17101 0,8 5,32101 0,9 5,48101 1 5,64101

Donn ees utilis ees pour tracer les courbes des Figures III.26 et III.27, p.107 :
Proba. d etection D/NR 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 qd le pi` ege echoue Ps 3,31101 3,38101 3,44101 3,51101 3,57101 3,64101 3,70101 3,77101 3,83101 3,90101 3,96101 Proba. d etection charge ex ecut ee D/R Ps 0 3,62101 0,1 3,64101 0,2 3,65101 0,3 3,66101 0,4 3,67101 0,5 3,69101 0,6 3,70101 0,7 3,71101 0,8 3,72101 0,9 3,74101 1 3,75101 Proba. d etection D/NR 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 charge d efectueuse Ps 3,55101 3,58101 3,60101 3,63101 3,65101 3,68101 3,70101 3,73101 3,75101 3,78101 3,81101

148

Sigles et acronymes
Note : la signication des sigles et acronymes employ es dans ce m emoire est syst ematiquement indiqu ee a la premi` ` ere occurrence. Nous listons ici seulement ceux faisant lobjet dune utilisation multiple, leur signication n etant alors pas toujours rappel ee apr` es leur premi` ere apparition.

AA AADL AIEA AMDE AMDEC ANSI ANSSI API ASN BDMP BDSP BGP BLP CC CCA CEI CERT CFR CIIP CIP CNRS COTS CSP CVSS DBT DFT DHS DoD

Attacker Action Architecture Analysis & Design Language Agence International de lEnergie Atomique Analyse des Modes de D efaillance et de leurs Eets Analyse des Modes de D efaillance, de leurs Eets et de leurs Criticit es American National Standards Institute Agence Nationale de la S ecurit e des Syst` emes American Petroleum Institute Autorit e de S uret e Nucl eaire Boolean logic Driven Markov Process Boolean logic Driven Stochastic Process Border Gateway Protocol Bell-Lapadula Crit` eres Communs Cause-Consequence Analysis Commission Electrotechnique Internationale Computer Emergency Response Team Code of Federal Regulations Critical Information Infrastructure Protection Critical Infrastructure Protection Centre National de la Recherche Scientique Commercial-O-The-Shelf Communicating Sequential Processes Common Vulnerability Scoring System Design Basis Threat Dynamic Fault Tree Department of Homeland Security Department of Defense

DoE EAL EDSA E/E/EP EID EMV ENISA EPS EuroCAE FMEA FRS GEMS GSN GSPN HAZOP IATA ICAO IEC IEEE IEFA IETF IFIP INL IP ISA ISE ISO ITSEC JRC

Department of Energy Evaluation Assurance Levels Embedded Device Security Assurance Electriques/ Electroniques/ Electroniques Programmables Extended Inuence Diagrams Europay Mastercard Visa European Network and Information Security Agency Etude Probabiliste de S uret e European Organisation for Civil Aviation Equipment Failure Mode and Eects Analysis Fragmentation-Redundancy-Scattering General Error Modeling System Goal Structured Notation Generalized Stochastic Petri Nets HAZard and OPerability studies International Air Transport Association International Civil Aviation Organization International Electrotechnical Committee Institute of Electrical and Electronics Engineers Initiale, En-cours, Finale, A posteriori Internet Engineering Task Force International Federation for Information Processing Idaho National Laboratories Internet Protocol International Society of Automation Instantaneous Security Event International Organization for Standardization Information Technology Security Evaluation Criteria Joint Research Center

149

KINS LAAS MORDA MTBF MTTD MTTF MTTR MTTS NASA NERC NIST NRC NSA OLF

Korea Institute of Nuclear Safety Laboratoire dAnalyse et dArchitecture des Syst` emes Mission Oriented Risk and Design Analysis Mean Time Before Failure Mean Time To Detection Mean Time To Failure Mean Time To Realization Mean Time To Success National Aeronautics and Space Administration North American Electric Reliability Corporation National Institute of Standards and Technology Nuclear Regulatory Commission National Security Agency Oljeindustriens Landsforening

SAIV SAL SAN SCADA SEMA SIL SiS SN SPN SQUARE SRI TCP TCSEC TSE TSN TTC UCTE UML VISA WG XML ZHA ZSA

Secteurs dActivit e dImportance Vitale Security Assurance Level Stochastic Activity Networks Supervisory Control And Data Acquisition Syst` eme-Environnement/MalveillantAccidentel Safety Integrity Level Syst` eme instrument e de S uret e S equences Normales Stochastic Petri Nets Security QUality Requirements Engineering Sans Retour a ` l etat Initial Transmission Control Protocol Trusted Computer System Evaluation Criteria Timed Security Event Transparence et S ecurit e en mati` ere Nucl eaire Time To Compromise Union pour la Coordination du Transport de lElectricit e Unied Modeling Language VISA International Service Association Working Group Extensible Markup Language Zonal Hazard Analysis Zonal Safety Analysis

OSSTMM Open Source Security Testing Methodology Manual OTAN PCRD PLC RBAC RFC RTC RTCA Organisation du Trait e de lAtlantique Nord Programme Cadre de Recherche et D eveloppement Programmable Logic Controller Role-based access control Request For Comments R eseau T el ephonique Commut e Radio Technical Commission for Aeronautics

150

Bibliographie
enne, Critical infrastructure protection in the ght against terrorism . [1] Commission europe COM(2004)702, oct. 2004. [2] Code de la D efense, articles R.1332-1 a ` 1332-42 et L.1332-1 a ` 1332-7 . Version consolid ee au 6 juin 2010. tariat Ge ne ral de la De fense Nationale (SGDN), Instruction g [3] Premier Ministre, Secre en erale interminist erielle relative a ` la s ecurit e des activit es dimportance vitale . IGI N 6600/SGDN/PSE/PPS du 26 septembre 2008. enne, Council directive 2008/114/EC of 8 December 2008 on the identication and [4] Commission europe designation of European critical infrastructures and the assessment of the need to improve their protection . Journal ociel de lUnion europ eenne, d ec. 2008. [5] Maison Blanche, HSPD-7 Homeland Security Presidential Directive for critical infrastructure identication, prioritization, and protection . Directive pr esidentielle etats-unienne, d ec. 2003. [6] E. M. Brunner et M. Suter, International CIIP Handbook 2008/2009. Center for Security Studies, ETH Zurich, 2008. `tre-Cambace de `s, T. Kropp, J. Weiss et R. Pellizzoni, Cybersecurity standards for the electric [7] L. Pie power industry - a survival kit , dans Proceedings of the 42nd CIGRE Session, Paris, France, p. D2217, ao ut 2008. `tre-Cambace de `s et S. Duckworth, Security technologies guideline - practical [8] A. Bartels, L. Pie guidance for deploying cyber security technology within electric utility data networks , Electra, vol. 244, p. 1117, 2009. `tre-Cambace de `s et P. Sitbon, An analysis of two new directions in control system perimeter [9] L. Pie security , dans Proceedings of the 3rd SCADA Security Scientic Symposium (S4), Miami, Etats-Unis, p. 4.14.30, jan. 2009. `tre-Cambace de `s, M. Tritschler et G. Ericsson, Cyber security myths on power control sys[10] L. Pie tems : 21 misconceptions and false beliefs , IEEE Transactions on Power Delivery, 2010. Accept e pour publication. [11] K. Stouffer, J. Falco et K. Scarfone, Guide to industrial control systems (ICS) security . U.S. National Institute of Standards and Technology (NIST), SP 800-82, sept. 2008. Final public draft. `tre-Cambace de `s et P. Sitbon, Cryptographic key management for SCADA systems - issues [12] L. Pie and perspectives , dans Proceedings of the 2nd International Conference on Information Security and Assurance (ISA08), Pusan, Cor ee, p. 156161, avril 2008. [13] International Atomic Energy Agency (IAEA), Safety glossary : terminology used in nuclear safety and radiation protection . Ref. STI/PUB/1290, edition 2007. [14] J.-C. Laprie, J. Arlat, J.-P. Blanquart, A. Costes, Y. Crouzet, Y. Deswarte, J.-C. Fabre, niche, K. Kanoun, C. Mazet, D. Powell, C. Rabe jac et P. The venod, H. Guillermain, M. Kaa Guide de la s uret e de fonctionnement. C epadu` es Editions, Toulouse, 2e edition, 1996. [15] J.-C. Laprie, S uret e de fonctionnement des syst` emes : concepts de base et terminologie , Revue de lElectricit e et de lElectronique , vol. 11, p. 95105, d ec. 2004. [16] A. Avizienis, J.-C. Laprie, B. Randell et C. Landwehr, Basic concepts and taxonomy of dependable and secure computing , IEEE Transactions on Dependable and Secure Computing, vol. 1, no 1, p. 1133, 2004. [17] International Electrotechnical Commission (IEC), International electrotechnical vocabulary chapter 191 : Dependability and quality of service . IEC 60500-191 et premier amendement, mars 1999. [18] N. Leveson, Software safety : Why, what, and how , ACM Computing Surveys, vol. 18, p. 125163, juin 1986.

151

[19] N. G. Leveson, Safeware : System Safety and Computers. Addison-Wesley Professional, 1995. [20] E. Schoitsch, Design for safety and security of complex embedded systems : a unied approach , dans Proceedings of the NATO Advanced Research Workshop on Cyberspace Security and Defense : Research Issues, Gdansk, Pologne, p. 161174, sept. 2004. [21] M. B. Line, O. Nordland, L. Rstad et I. A. Tndel, Safety vs. security ? , dans Proceedings of the 8th International Conference on Probabilistic Safety Assessment and Management (PSAM 2006), Nouvelle Orl eans, Etats-Unis, mai 2006. [22] B. Schneier, Attack trees : Modeling security threats , Dr. Dobbs Journal, vol. 12, no 24, p. 2129, 1999. curite des Syste `mes dInformation (DCSSI), La d [23] Direction Centrale de la Se efense en profondeur appliqu ee aux syst` emes dinformation . Memento du SGDN/DCSSI, juil. 2004. Version 1.1. telet, L. Pie `tre-Cambace de `s et P. Lacle mence, Les paradoxes de la s [24] G. Deleuze, E. Cha ecurit e industrielle , dans Actes ( electroniques) du 1er Workshop Interdisciplinaire sur la S ecurit e Globale (WISG07), Troyes, France, jan. 2007. `tre-Cambace de `s et M. Bouissou, Modeling safety and security interdepedencies with BDMP [25] L. Pie (Boolean logic Driven Markov Processes) , dans IEEE International Conference on Systems, Man, and Cybernetics (SMC 2010), Istanbul, Turquie, oct. 2010. Accept e pour publication. [26] D. P. Eames et J. Moffett, The integration of safety and security requirements , dans Proceedings of the 18th International Conference on Computer Safety, Reliability and Security (SAFECOMP99), LNCS1698, Toulouse, France, p. 468480, sept. 1999. [27] S. Lautieri, D. Cooper et D. Jackson, SafSec : Commonalities between safety and security assurance , dans Proceedings of the 13th Safety Critical Systems Symposium (SSS05), Southampton, Royaume-Uni, p. 6575, f ev. 2005. [28] Energy Facility Contractors Group (EFCOG), Topical Report on Security and Safety Integration (TROSSI) , sept. 2006. [29] T. Novak et A. Treytl, Functional safety and system security in automation systems - a life cycle model , dans Proceedings of the 13th IEEE Conference on Emerging Technologies and Factory Automation (ETFA08), Hambourg, Allemagne, p. 311318, sept. 2008. [30] U.S. Nuclear Regulatory Commission (NRC), Managing the safety/security interface . Regulatory Guide 5.74, juin 2009. [31] B. Littlewood et L. Strigini, Redundancy and diversity in security , dans Proceedings of the European Symposium on Research in Computer Security (ESORICS04), LNCS 3193, Sophia-Antipolis, France, p. 423438, sept. 2004. [32] S. Zafar et G. R. Dromey, Integrating safety and security requirements into design of an embedded system , dans Proceedings of the 12th Asia-Pacic Software Engineering Conference (APSEC05), Taipei, Taiwan, p. 629636, d ec. 2005. [33] G. Levitin et K. Hausken, Redundancy vs. protection in defending parallel systems against unintentional and intentional impacts , IEEE Transactions on Reliability, vol. 58, p. 679690, d ec. 2009. [34] M. Sun, S. Mohan, L. Sha et C. Gunter, Addressing safety and security contradictions in cyber-physical systems , dans Proceedings of the 1st Workshop on Future Directions in Cyber-Physical Systems Security (CPSSW09), Newark, Etats-Unis, juil. 2009. [35] European Network of Transmission System Operators for Electricity, UCTE operation handbook - glossary . Version 2.2, juil. 2004. `tre-Cambace de `s et C. Chaudet, The SEMA referential framework : avoiding ambiguities when [36] L. Pie dealing with security and safety issues , dans 4th Annual IFIP WG 11.10 International Conference on Critical Infrastructure Protection (CIP 2010), Washington D.C., Etats-Unis, mars 2010. Hors proceedings (s election pour publication journal). `tre-Cambace de `s et C. Chaudet, The SEMA referential framework : avoiding ambiguities in the [37] L. Pie terms security and safety , International Journal of Critical Infrastructure Protection, vol. 3, no 2, p. 5566, 2010. [38] M. Van Der Meulen, Denitions for Hardware and Software Safety Engineers. Springer, 1re edition, avril 2000. [39] A. Burns, J. McDermid et J. Dobson, On the meaning of safety and security , The Computer Journal, vol. 35, no 1, p. 315, 1992.

152

[40] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Safety aspects guidelines for their inclusion in standards . ISO/IEC Guide 51, 2e edition, jan. 1999. [41] J. Arlat, Y. Crouzet, Y. Deswarte, J.-C. Fabre, J.-C. Laprie et D. Powell, Encyclop edie de linformatique et des syst` emes dinformation, chap. Tol erance aux fautes, p. 240270. Paris, France : Vuibert, 2006. [42] Y. Laarouchi, S ecurit es (immunit e et innocuit e) des architectures ouvertes ` a niveaux de criticit e multiples : application en avionique. Th` ese de doctorat, Institut National des Sciences Appliqu ees (INSA) de Toulouse et Laboratoire dAnalyse et dArchitecture des Syst` emes du CNRS (LAAS), 2009. [43] J. Rushby, Critical system properties : Survey and taxonomy , Reliability Engineering & System Safety, vol. 43, no 2, p. 189219, 1994. [44] D. G. Firesmith, Common concepts underlying safety, security, and survivability engineering , Rapport Technique CMU/SEI-2003-TN-033, Universit e Carnegie Mellon, d ec. 2003. [45] D. M. Nicol, W. H. Sanders et K. S. Trivedi, Model-based evaluation : From dependability to security , IEEE Transactions on Dependable and Secure Computing, vol. 1, no 1, p. 4865, 2004. [46] M. Al-Kuwaiti, N. Kyriakopoulos et S. Hussein, A comparative analysis of network dependability, fault-tolerance, reliability, security, and survivability , IEEE Communications Surveys and Tutorials, vol. 11, no 2, p. 106124, 2009. [47] International Air Transport Association (IATA), IATA security manual . 6e edition, avril 2010. [48] International Civil Aviation Organization (ICAO), Security manual for safeguarding civil aviation against acts of unlawful interference . Doc. 8973, 2002. [49] International Atomic Energy Agency (IAEA), Computer security at nuclear facilities . Manuel de r ef erence, version pr eliminaire non publi ee, 2009. [50] International Atomic Energy Agency (IAEA), Fundamental safety principles . Safety Fundamentals No. SF-1, 2006. [51] International Atomic Energy Agency (IAEA), Software for computer based systems important to safety in nuclear power plants . Safety Guide No. NS-G-1.1, sept. 2000. [52] International Electrotechnical Commission (IEC), Nuclear power plants instrumentation and control important to safety requirements for computer security programmes . IEC Committee Draft 62645), avril 2010. [53] International Atomic Energy Agency (IAEA), Instrumentation and control systems important to safety in nuclear power plants . Safety Guide No. NS-G-1.3, mars 2002. [54] International Atomic Energy Agency (IAEA), Safety of nuclear power plants : Design . Safety Guide No. NS-R-1, sept. 2000. [55] U.S. Office of the Federal Register, Title 10 : Energy, part 73.54 : Protection of digital computer and communication systems and networks . Code of Federal Regulations (10 CFR 73.54). [56] International Atomic Energy Agency (IAEA), International Nuclear Safety Group (INSAG), Basic safety principles for nuclear power plants . 75-INSAG-3, Rev. 1, oct. 1999. [57] U.S. Nuclear Regulatory Commission (NRC), Criteria for use of computers in safety systems of nuclear power plants . Regulatory Guide 1.152, Revision 2, jan. 2006. [58] International Electrotechnical Commission (IEC), Nuclear power plants instrumentation and control for systems important to safety general requirements for systems . IEC 61513, mars 2001. [59] International Electrotechnical Commission (IEC), Nuclear power plants instrumentation and control systems important to safety classication of instrumentation and control functions . IEC 61226, 2e edition, f ev. 2005. [60] U.S. Nuclear Regulatory Commission (NRC), Cyber security programs for nuclear facilities . Regulatory Guide 5.71, jan. 2010. [61] International Electrotechnical Commission (IEC), Nuclear power plants instrumentation and control systems important to safety software aspects for computer-based systems performing category A functions . IEC 60880, 2e edition, mai 2006. [62] International Electrotechnical Commission (IEC), Nuclear power plants instrumentation and control important for safety software aspects for computer-based systems performing category B or C functions . IEC 62138, jan. 2001.

153

[63] Institute of Electrical and Electronics Engineers (IEEE), IEEE standard criteria for security systems for nuclear power generating stations . IEEE Std 692-2010, f ev. 2010. [64] Korea Institute of Nuclear Safety (KINS), Cyber security of digital instrumentation and control systems in nuclear facilities . Guide r eglementaire KINS/GT-N09-DR, jan. 2007. [65] Institute of Electrical and Electronics Engineers (IEEE), IEEE standard criteria for safety systems for nuclear power generating stations . IEEE Std 603-1998, juil. 1998. [66] Institute of Electrical and Electronics Engineers (IEEE), IEEE standard criteria for digital computers in safety systems of nuclear power generating stations . IEEE Std 7-4.3.2-2003, d ec. 2003. [67] International Electrotechnical Commission (IEC), Power systems management and associated information exchange data and communications security . S erie de Technical Specications (TS) IEC 62351 (parties 1 a ` 8), 2007 a ` 2009. [68] North American Electric Reliability Council (NERC), Reliability standards for the bulk electric systems of North America , nov. 2009. [69] North American Electric Reliability Council (NERC), Cyber security standards . CIP-002-1 a ` CIP-009-1, 2006. [70] U.S. National Institute of Standards and Technology (NIST), Smart grid cyber security strategy and requirements . NISTIR 7628 (draft), sept. 2009. [71] Institute of Electrical and Electronics Engineers (IEEE), IEEE guide for electric power substation physical and electronic security . IEEE Std 1402-2000, jan. 2000. [72] Institute of Electrical and Electronics Engineers (IEEE), IEEE standard for substation intelligent electronic devices (IEDs) cyber security capabilities . IEEE Std 1686-2007, d ec. 2007. [73] Institute of Electrical and Electronics Engineers (IEEE), IEEE trial use standard for a cryptographic protocol for cyber security of substation serial links . IEEE P1711 (draft), 2007. enne, Regulation (EC) No 2320/2002 of the European parliament and of the council [74] Commission europe of 16 december 2002 establishing common rules in the eld of civil aviation security . Journal ociel de lUnion europ eenne, d ec. 2002. [75] International Civil Aviation Organization (ICAO), Safety oversight audit manual . Doc. 9735, 2e edition, 2006. [76] Radio Technical Commission for Aeronautics (RTCA) et European Organisation for Civil Aviation Equipment (EUROCAE), Software considerations in airborne systems and equipment certication . DO-178B/ED-12B, jan. 1992. [77] Maison Blanche, National strategy for aviation security . Directive pr esidentielle etats-unienne, mars 2007. [78] European Organisation for the Safety of Air Navigation, ESARR 4 - risk assessment and mitigation in ATM , avril 2001. [79] European Organisation for the Safety of Air Navigation, ESARR 6 - software in ATM systems , nov. 2003. enne, Regulation (EC) No 216/2008 of the European parliament and of the Council [80] Commission europe on common rules in the eld of civil aviation and establishing a European aviation safety agency . Journal ociel de lUnion europ eenne, mars 2008. [81] U.S. Office of the Federal Register, Title 49 : Transportation, parts 1520 and 1580 : Rail transportation security . Code of Federal Regulations (14 CFR 1520 & 1580). [82] International Electrotechnical Commission (IEC), Railway applications specication and demonstration of reliability, availability, maintainability and safety (RAMS) . IEC 62278, sept. 2002. [83] International Electrotechnical Commission (IEC), Railway applications communications, signalling and processing systems software for railway control and protection systems . IEC 62279, sept. 2002. [84] U.S. Office of the Federal Register, Title 14 : Aeronautics and space, part 1203 : Information security program . Code of Federal Regulations (14 CFR 1203). [85] U.S. Office of the Federal Register, Title 14 : Aeronautics and space, part 1203a : NASA security areas . Code of Federal Regulations (14 CFR 1203a). [86] U.S. Office of the Federal Register, Title 14 : Aeronautics and space, part 1203b : Security programs ; arrest authority and use of force by NASA security force personnel . Code of Federal Regulations (14 CFR 1203a).

154

[87] European Cooperation for Space Standardization (ECSS), Glossary of terms . ECSS-P-001B, juil. 2004. [88] U.S. National Aeronautics and Space Administration (NASA), Standard for integrating applications into the NASA access management, authentication, and authorization infrastructure . EA-STD-0001, juil. 2008. [89] U.S. National Aeronautics and Space Administration (NASA), NASA security program procedural requirements w/change 2 . NASA Procedural Requirements 1600.1, nov. 2004. [90] U.S. National Aeronautics and Space Administration (NASA), Software safety standard . NASASTD-8719.13B w/Change 1, juil. 2004. [91] Oljeindustriens Landsforening (OLF), Information security baseline requirements for process control, safety, and support ICT systems . OLF Guideline No. 104, d ec. 2006. [92] International Organization for Standardization (ISO), Petroleum and natural gas industries oshore production installations basic surface process safety systems . ISO 10418, 2e edition, oct. 2003. [93] American Petroleum Institute (API), Pipeline SCADA security . STD 1164, juil. 2009. [94] International Organization for Standardization (ISO), Petroleum and natural gas industries control and mitigation of res and explosions on oshore production installations requirements and guidelines . ISO 13702, mars 1999. [95] International Organization for Standardization (ISO), Petroleum and natural gas industries oshore production installations guidelines on tools and techniques for hazard identication and risk assessment . ISO 17776, oct. 2000. [96] NORSOK, Technical safety . NORSOK Standard S-001, jan. 2000. [97] NORSOK, Safety and automation system (SAS) . NORSOK Standard I-002, mai 2001. [98] Oljeindustriens Landsforening (OLF), Application of IEC 61508 and IEC 61511 in the Norwegian petroleum industry . OLF Guideline No. 70, oct. 2004. [99] Oljeindustriens Landsforening (OLF), Recommended guidelines : Common model for safe job analysis (SJA) . OLF Guideline No. 90, mars 2006. [100] U.S. Office of the Federal Register, Title 6 : Homeland security, part 27 : Chemical facility anti-terrorism standards . Code of Federal Regulations (6 CFR 27). [101] American Institute of Chemical Engineers (AIChE), Center for Chemical Process Safety (CCPS), Combined glossary of terms , mars 2005. [102] U.S. Department of Homeland Security (DHS), Risk-based performance standards guidance . Chemical Facility Anti-Terrorism Standards, mai 2009. [103] North Atlantic Treaty Organization (NATO) Standardization Agency (NSA), NATO glossary of terms and denitions (English and French) . AAP-6, 2009. [104] North Atlantic Treaty Organization (NATO), NATO R & M terminology applicable to ARMPs . AMRP-7, ao ut 2008. [105] U.S. Department of Defense (DoD), Standard practice for system safety . MIL-STD-882D, jan. 1993. [106] U.K. Ministry of Defence (MoD), Directorate of Standardization, Safety management requirements for defence systems part 1 requirements . MoD-Def-Stan-00-56/1, juin 2007. [107] U.K. Ministry of Defence (MoD), Directorate of Standardization, Safety management requirements for defence systems part 2 guidance on establishing a means of complying with part 1 . MoD-Def-Stan-00-56/2, juin 2007. [108] International Electrotechnical Commission (IEC), Industrial communication networks network and system security part 1-1 : Terminology, concepts and models . Technical Specication IEC/TS 624431-1, juil. 2009. [109] International Electrotechnical Commission (IEC), Industrial communication networks network and system security part 3-1 : Security technologies for industrial automation and control systems . Technical Specication IEC/TS 62443-1-1, juil. 2009. [110] International Electrotechnical Commission (IEC), Functional safety of electrical/electronic/programmable electronic safety-related systems . S erie de normes internationales IEC 61508 (parties 1 a ` 7), 1998 a ` 2005. [111] U.S. National Institute of Standards and Technology (NIST), Security controls for federal information systems and organizations . NIST Special Publication 800-53, revision 3, ao ut 2009.

155

[112] American National Standards Institute (ANSI) et International Society of Automation (ISA), Security for industrial automation and control systems part 1 : Terminology, concepts, and models . ANSI/ISA99.00.01, oct. 2007. (Equivalent a ` lIEC/TS62433-1-1 :2009). [113] UK Centre for the Protection of National Infrastructure (CPNI), Process control and SCADA security, good practice guide , juin 2008. Version 2 (guide en 8 parties). [114] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Information technology security techniques information security management systems overview and vocabulary . ISO/IEC 27000, mai 2009. [115] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Information technology security techniques information security management systems . ISO/IEC 27001, d ec. 2007. [116] International Electrotechnical Commission (IEC), Information technology equipment safety part 1 : General requirements . IEC 60950-1, d ec. 2005. 2e edition. [117] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Information technology security techniques code of practice for information security management . ISO/IEC 27002, juin 2005. [118] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Information technology Security techniques Information security risk management . ISO/IEC 27005, juin 2008. [119] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Information technology security techniques management of information and communications technology security part 1 : Concepts and models for information and communications technology security management . ISO/IEC 13335, nov. 2004. [120] R. Shirey et Internet Engineering Task Force (IETF), Internet security glossary . RFC 4949, ao ut 2007. Version 2. [121] International Telecommunication Union (ITU-T), Information technology security techniques information security management guidelines for telecommunications organizations based on ISO/IEC 27002 . ITU-T X.1051, f ev. 2008. 2e edition. [122] U.S. National Institute of Standards and Technology (NIST), Standards for security categorization of federal information and information systems . FIPS PUB 199, f ev. 2004. [123] U.S. National Institute of Standards and Technology (NIST), Glossary of key information security terms . NIST IR 7298, avril 2006. [124] U.S. Committee on National Security Systems (CNSS), National information assurance (IA) . CNSS Instruction No. 4009, juin 2006. [125] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Guidelines for the inclusion of security aspects in standards . ISO/IEC Guide 81, d ec. 2009. Draft. [126] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Standardization and related activities general vocabulary . ISO/IEC Guide 2, nov. 2004. 8e edition. [127] International Electrotechnical Commission (IEC), Power systems management and associated information exchange data and communications security part 1 : Communication network and system security introduction to security issues . IEC 62351-1, mai 2007. `tre-Cambace de `s et C. Chaudet, Disentangling the relations between safety and security , [128] L. Pie dans Proceedings of the 9th WSEAS International Conference on Applied Informatics and Communications (AIC09), Moscou, Russie, p. 156161, ao ut 2009. developments on [129] G. N. Ericsson, Information security for Electric Power Utilities (EPUs) - CIGRE frameworks, risk assessment, and technology , IEEE Transactions on Power Delivery, vol. 24, no 3, p. 1174 1181, 2009. [130] V. Madani et R. King, Strategies to meet grid challenges for safety and reliability , International Journal of Reliability and Safety, vol. 2, no 1-2, p. 146165, 2008. [131] U.S. National Grid, Electric safety . Site web (consult e le 8 juin 2010) - http://www.nationalgridus. com/masselectric/safety_electric.asp.

156

[132] American Naional Standards Institute (ANSI) et Institute of Electrical and Electronics Engineers (IEEE), National electrical safety code (NESC) . Accredited Standards Committee C22007, 2007. [133] S. Abraham, National transmission grid study . U.S. Department of Energy, mai 2002. et Institute of Electrical and Electronics Engineers (IEEE), Denition and classi[134] CIGRE cation of power system stability . Technical Brochure No. 231, juin 2003. [135] A. Gheorghe, M. Masera, M. Weijnen et L. De Vries, eds, Critical Infrastructures at Risk : Securing the European Electric Power System. Springer, 2006. [136] C. Tranchita, Risk Assessment for Power System Security with Regard to Intentional Events. Th` ese de doctorat, Institut Polytechnique de Grenoble et Universit e de Los Andes, 2008. [137] Strategic research agenda for Europes electricity networks of the future . Commission europ eenne, EUR 22580, 2007. [138] U.S. National Institute of Standards and Technology (NIST), NIST framework and roadmap for smart grid interoperability standards . Draft Publication, Standards Release 1.0, sept. 2009. `re et J.-P. Angelier, La distribution [139] N. Hadjsaid, J.-C. Sabonnadie electrique de lavenir : les Smart Grids , Revue de lElectricit e et de lElectronique (REE), jan. 2010. [140] Google Map of AMI & smart metering programmes across the world . Carte electronique maintenue par lEnergy Retail Association du Royaume Uni, http://tinyurl.com/AMI-projects-worldmap (consult ee le 30 d ec. 2009). [141] Loi 2006-686 du 13 juin 2006 relative a ` la transparence et a ` la s ecurit e en mati` ere nucl eaire . Journal ociel de la R epublique fran caise du 14 juin 2006, juin 2006. [142] J. Jalouneix, P. Cousinou, J. Couturier et D. Winter, Approche comparative entre s uret e et s ecurit e nucl eaires , Rapport Technique 2009/117, Institut de Radioprotection et de S uret e Nucl eaire (IRSN), avril 2009. [143] Nuclear Energy Institute, Cyber security plan for nuclear power reactors (revision 6) . NEI 08-09, avril 2010. enne, Protecting Europe from large scale cyber-attacks and disruptions : enhancing [144] Commission europe preparedness, security and resilience . Communications SEC(2009)399 et SEC(2009)400, mars 2009. [145] U.S. Department of Homeland Security (DHS), Roadmap to secure control systems in the water sector . Water Sector Coordinating Council Cyber Security WG, mars 2008. [146] U.S. Department of Homeland Security (DHS), LOGIIC - linking the oil and gas industry to improve cybersecurity , sept. 2006. [147] International Electrotechnical Commission (IEC), Risk management vocabulary guidelines for use in standards . IEC Guide 73, juin 2002. [148] U.S. Federal Aviation Administration (FAA), FAA system safety handbook , d ec. 2000. [149] U.S. National Institute of Standards and Technology (NIST), Minimum security requirements for federal information and information systems . FIPS PUB 200, mars 2006. [150] S. Kaplan et B. Garrick, On the quantitative denition of risk , Risk Analysis, vol. 1, no 1, p. 1127, 1981. [151] L. Magne et D. Vasseur, eds, Risques industriels. Complexit e, incertitudes et d ecision : une approche interdisciplinaire. TEC & DOC, Collection EDF R&D, Lavoisier, 2006. [152] E. Zio, An introduction to the basics of reliability and risk analysis, vol. 13 dans Series on Quality, Reliablity and Engineering Statistics. World Scientic Publishing, 2007. [153] International Atomic Energy Agency (IAEA), The physical protection of nuclear material and nuclear facilities . INFCIRC/225/Rev.4, juin 1999. [154] R. G. Johnston, Adversarial safety analysis : Borrowing the methods of security vulnerability assessments , Journal of Safety Research, vol. 35, p. 245248, 2004. [155] S. Tom, D. Christiansen et D. Berrett, Recommended pratice for patch management of control systems . DHS Control System Security Program (CSSP) Recommended Practice, d ec. 2008. [156] B. Schneier, Secrets & Lies : Digital Security in a Networked World. John Wiley & Sons, 2000. [157] J. Viega et G. Mc Graw, Building Secure Software. Addison-Wesley, 2002. [158] R. J. Anderson, Security Engineering : A Guide to Building Dependable Distributed Systems. John Wiley & Sons, 2e edition, avril 2008.

157

 telet, P. Lacle mence, J. Piwowar et B. Affeltranger, Are safety and security [159] G. Deleuze, E. Cha in industrial systems antagonistic or complementary issues ? , dans Proceedings of the17th European Safety and Reliability Conference (ESREL08), Valence, Espagne, sept. 2008. [160] A. J. Menezes, P. C. van Oorschot et S. A. Vanstone, Handbook of Applied Cryptography. CRC Press, 2001. rjens, Composability of secrecy , dans Proceedings of the 1st International Workshop on Methods, [161] J. Ju Models, and Architectures for Network Security (MMM-ACNS01), LNCS 2052, Saint-P etersbourg, Russie, p. 2838, mai 2001. [162] J. Alves-Foss, Computer security aspects of dependable avionics systems , dans Proceedings of National Workshop on Aviation Software Systems : Design for Certiably Dependable Systems (A Workshop on Research Directions and State of Practice of High Condence Software Systems) NITRD HCSS-AS, Alexandria, Etats-Unis, oct. 2006. [163] L. Yang et S. Yang, A framework of security and safety checking for internet-based control systems , International Journal of Computer Security, vol. 1, no 1/2, p. 185200, 2007. [164] J. N. Sorensen, Safety culture : a survey of the state-of-the-art , Reliability Engineering & System Safety, vol. 76, no 2, p. 189204, 2002. [165] BP Texas City, renery explosion and re (15 killed, 180 injured) , Rapport denqu ete 2005-04-I-TX, U.S. Chemical Safety and Hazard Investigation Board, mars 2007. [166] C. W. Choo, Information failures and organizational disasters , MIT Sloan Management Review, vol. 46, no 3, p. 710, 2005. [167] B. Schneier, The psychology of security , dans Proceedings of the 1st International Conference on Cryptology in Africa (AfricaCrypt 2008), LNCS 5023, Casablanca, Maroc, p. 5079, juin 2008. [168] B. Schneier, Beyond Fear : Thinking Sensibly About Security in an Uncertain World. Springer, 2003. [169] R. J. Anderson, Security Engineering : A Guide to Building Dependable Distributed Systems, chap. 2 Usability and Pyschology, p. 1762. John Wiley & Sons, 2e edition, avril 2008. [170] International Atomic Energy Agency (IAEA), Nuclear security culture . IAEA Nuclear Security Series No. 7, Implementing Guide, 2008. [171] K. Mitnick, W. Simon et S. Wozniak, The art of deception. Wiley, 2002. [172] J. Dobson, New security paradigms : what other concepts do we need as well ? , dans Proceedings of the 1993 Workshop on New Security Paradigms (NSPW93), Little Compton, Etats-Unis, p. 718, ao ut 1993. [173] International Atomic Energy Agency (IAEA), The International Nuclear Event Scale (INES) users manual , f ev. 2001. Pr eparation conjointe AIEA et OCDE. [174] G. Deleuze, Un cadre conceptuel pour la comparaison s uret e et s ecurit e de li` eres industrielles , dans Actes ( electroniques) du 2e Workshop Interdisciplinaire sur la S ecurit e Globale (WISG08), Troyes, France, jan. 2008. [175] O. Nordland, Safety and security - two sides of the same medal . European CIIP Newsletter (ECN), vol. 3, no. 2, juin 2007. [176] M. Bouissou, Gestion de la complexit e dans les etudes quantitatives de s uret e de fonctionnement de syst` emes. TEC & DOC, Collection EDF R&D, Lavoisier, 2008. [177] B. Littlewood, S. Brocklehurst, N. Fenton, P. Mellor, S. Page, D. Wright, J. Dobson, J. McDermid et D. Gollmann, Towards operational measures of computer security , Journal of Computer Security, vol. 2, p. 211229, 1993. [178] B. Littlewood, Dependability assessment of software-based systems : State of the art , dans Proceedings of the 27th International Conference on Software Engineering (ICS05), Saint-Louis, Etats-Unis, p. 67, mai 2005. [179] I. Bloch, Incertitude, impr ecision et additivit e en fusion de donn ees : point de vue historique , Traitement du Signal, vol. 13, no 4, p. 267288, 1996. [180] M. Marseguerra et E. Zio, Basics of the Monte-Carlo method with application to system reliability . LiLoLe Publishing, Hagen, Allemagne, 2002. [181] A. Marquez, A. Sanchez et B. Iung, Monte-Carlo-based assessment of system availability : A case study for cogeneration plants , Reliability Engineering & System Safety, vol. 88, no 3, p. 273289, 2005. [182] D. E. Peplow, C. D. Sulfredge, R. L. Sanders, R. H. Morris et T. A. Hann, Calculating nuclear power plant vulnerability using integrated geometry and event/fault-tree models , Nuclear Science and Engineering, vol. 146, no 1, p. 7187, 2004.

158

[183] C. R. H. Morris, D. Sulfredge, R. L. Sanders et H. S. Rydell, Using the VISAC program to calculate the vulnerability of nuclear power plants to terrorism , International Journal of Nuclear Governance, Economy and Ecology, vol. 1, no 2, p. 193211, 2006. [184] G. Stoneburner, Toward a unied security-safety model , IEEE Computer, vol. 39, p. 9697, ao ut 2006. [185] N. Leveson, White paper on approaches to safety engineering . Disponible en ligne sur le site de lauteur (sunnyday.mit.edu/caib/concepts.pdf), avril 2003. [186] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Risk management risk assessment techniques . IEC/ISO 31010, nov. 2009. [187] International Electrotechnical Commission (IEC), Gestion de la s uret e de fonctionnement partie 3-1 : Guide dapplication techniques danalyse de la s uret e de fonctionnement guide m ethodologique . IEC 60300-3-1, 2003. [188] M. Rausand et A. Hyland, System Reliability Theory : Models and Statistical Methods. Wiley, 2e edition, 2004. [189] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Analysis techniques for system reliability procedure for failure mode and eects analysis (FMEA) . IEC/ISO 60812, jan. 2006. [190] The Chemical Industry Safety and Health Council of the Chemical Industries Association (CISHEC), A guide to hazard and operability studies , 1977. [191] T. Kletz, HAZOP and HAZAN : Identifying and Assessing Process Industry Hazards. Institution of Chemical Engineers, 4e edition, 2002. [192] International Electrotechnical Commission (IEC), Hazard and operability studies (HAZOP) application guide . IEC 61882, mai 2001. 1re edition. [193] D. J. Pumfrey, The Principled Design of Computer System Safety Analyses. Th` ese de doctorat, Universit e de York, 1999. [194] F. Redmill, M. Chudleigh et J. Catmur, System Safety : HAZOP and Software HAZOP. Wiley, avril 1999. [195] J. P. Rankin et C. F. White, Sneak circuit analysis handbook , Rapport Technique D2-118341-1 / NASA-CR-108721, U.S. National Aeronautics and Space Administration (NASA), 1970. [196] U.S. National Aeronautics and Space Administration (NASA), Sneak circuit analysis guideline for electromechanical systems . Preferred Reliability Practices, Practice No PD-AP-1314, oct. 2005. [197] European Cooperation for Space Standardization (ECSS), Sneak analysis . ECSS-Q-TM-40-04 Part 1A and Part 2A, avril 2010. [198] J. Miller, Sneak circuit analysis for the common man , Rapport Technique RADC-TR-89-223, Rome Air Development Center, oct. 1989. [199] J. P. Rankin, Sneak circuit analysis , Nuclear Safety, vol. 14, no 5, p. 461469, 1973. [200] Society of Automotive Engineers (SAE), Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment . ARP4761, d ec. 1996. [201] International Electrotechnical Commission (IEC), Analysis techniques for dependability reliability block diagram and boolean methods . IEC 61078, jan. 2006. 2e edition. [202] S. Distefano et A. Puliafito, Reliability and availability analysis of dependent-dynamic systems with DRBDs , Reliability Engineering & System Safety, vol. 94, p. 13691498, sept. 2009. [203] C. A. Ericson, Fault tree analysis - a history , dans Proceedings of the 17th International System Safety Conference (ISSC), Orlando, Etats-Unis, ao ut 1999. [204] W. Vessely, F. F. Glodberg, N. H. Roberts et D. F. Haasl, Fault tree handbook . U.S. Nuclear Regulatory Commission (NRC), NUREG-0492, jan. 1981. [205] M. Stamatelatos, W. Vesely, J. Dugan, J. Fragola, J. I. Minarick et J. Railsback, Fault tree handbook with aerospace applications . U.S. National Aeronautics and Space Administration (NASA) Handbook, ao ut 2002. Version 1.1. [206] N. G. Leveson et P. R. Harvey, Software fault tree analysis , The Journal of Systems and Software, vol. 3, no 2, p. 173181, 1983. [207] International Electrotechnical Commission (IEC), Fault tree analysis (FTA) . IEC 61025, d ec. 2006. 2e edition.

159

[208] S. Contini et V. Matuzas, ASTRA 3.0 : Logical and probabilistic analysis methods , Rapport Technique JRC56318, European Commission Joint Research Centre (JRC), Institute for the Protection and Security of the Citizen (IPSC), 2010. [209] U.S. Nuclear Regulatory Commission (NRC), N. Rassmussen et al., Reactor safety study : an assessment of accident risk in US commercial nuclear plants . NUREG-75/014 / WASH-1400, oct. 1975. [210] D. J. Wakefield et S. Epstein, Fault-tree linking vs. event tree linking , dans Actes du 12e congr` es de abilit e et maintenabilit e de lIMdR (14), Lyon, France, oct. 2002. [211] American Institute of Chemical Engineers (AIChE), Center for Chemical Process Safety (CCPS), Guidelines for Hazard Evaluation Procedures. Wiley, 2008. [212] D. S. Nielsen, The cause-consequence diagram method as a basis for quantitative accident analysis , Rapport Technique RIS-M-1374, Danish Atomic Energy Commission, Danemark, 1971. [213] D. S. Nielsen, O. Platz et e. B. Rung, A cause-consequence chart of a redundant protection system , IEEE Transactions on Reliability, vol. 24, no 1, p. 813, 1975. [214] G. Burdick et J. Fussell, On the adaption of cause-consequence analysis to U.S. nuclear power systems reliability and risk assessment , Rapport Technique, Idaho National Engineering Laboratory, 1976. [215] J. Taylor, Fault tree and cause consequence analysis for control software validation , Rapport Technique RIS-M-2326, RIS Labs, jan. 1982. [216] Rail Safety and Standards Board, Engineering Safety Management Volume 1 & 2 . The Yellow Book, 2007. Issue 4. [217] J. D. Andrews et L. M. Ridley, Application of the cause-consequence diagram method to static systems , Reliability Engineering & System Safety, vol. 75, no 1, p. 4758, 2002. [218] H. Langseth et L. Portinale, Bayesian networks in reliability , Reliability Engineering & System Safety, vol. 92, p. 92108, 2007. [219] J. Pearl, Bayesian networks : a model of self-activated memory for evidential reasoning. , Rapport Technique CSD-850017, Universit e de Californie, Los Angeles (UCLA), avril 1985. [220] T. Bayes, Essay towards solving a problem in the doctrine of chances , The Philosophical Transactions of the Royal Society of London, 1763. [221] F. Jensen et T. Nielsen, Bayesian networks and decision graphs. Springer, 2e edition, 2007. [222] A. Bobbio, L. Portinale, M. Minichino et E. Ciancamerla, Improving the analysis of dependable systems by mapping fault trees into Bayesian networks , Reliability Engineering & System Safety, vol. 71, no 3, p. 249260, 2001. [223] International Electrotechnical Commission (IEC), Application of Markov techniques . IEC 61165, mai 2006. 2e edition. [224] E. Zio, Computational Methods for Reliability and Risk Analysis, vol. 14 dans Series on Quality, Reliablity and Engineering Statistics. World Scientic Publishing, 2009. [225] J. B. Dugan, S. Bavuso et M. Boyd, Fault trees and sequence dependencies , dans Proceedings of the Reliability and Maintainability Annual Symposium (RAMS90), Los Angeles, Etats-Unis, p. 286293, jan. 1990. [226] J. B. Dugan, S. Bavuso et M. Boyd, Dynamic fault tree models for fault tolerant computer systems , IEEE Transactions on Reliability, vol. 41, no 3, p. 363377, 1992. [227] R. Manian, D. Coppit, K. J. Sullivan et J. B. Dugan, Bridging the gap between systems and dynamic fault tree models , dans Proceedings of the 45th Reliability and Maintainability Annual Symposium (RAMS99), Washington D.C., Etats-Unis, p. 105111, jan. 1999. [228] J. B. Dugan, K. J. Sullivan et D. Coppit, Developing a low-cost high-quality software tool for dynamic fault-tree analysis , IEEE Transactions on Reliability, vol. 49, p. 4959, 2000. [229] H. Xu, J. B. Dugan et L. Meshkat, A dynamic fault tree model of a propulsion system , dans Proceedings of the 8th International Conference on Probabilistic Safety Assessment & Management, Nouvelle-Orl eans, Etats-Unis, mai 2006. [230] C. A. Petri, Kommunikation mit Automaten. Th` ese de doctorat, Technische Hochschule Darmstadt, 1962. [231] P. Merlin et D. Farber, Recoverability of communication protocols implications of a theoretical study , IEEE Transactions on Communications, vol. 24, no 9, p. 10361043, 1976. [232] S. Natkin, Les R eseaux de Petri Stochastiques. Th` ese de doctorat, Conservatoire National des Arts et M etiers (CNAM), 1980.

160

[233] M. Molloy, On the integration of delay and troughput in distributed processing models. Th` ese de doctorat, Universit e de Californie, Los Angeles (UCLA), 1981. [234] M. A. Marsan, G. Conte et G. Balbo, A class of generalized stochastic Petri nets for the performance evaluation of multiprocessor systems , ACM Transactions on Computer Systems (TOCS), vol. 2, p. 93122, mai 1984. [235] W. H. Sanders et J. F. Meyer, Lectures on formal methods and performance analysis : rst EEF/Euro summer school on trends in computer science, chap. Stochastic activity networks : formal denitions and concepts, p. 315343. Springer-Verlag, 2002. [236] N. G. Leveson et J. L. Stolzy, Safety analysis using Petri nets , IEEE Transactions on Software Engineering, vol. 13, no 3, p. 386397, 1987. Cha telet et J.-F. Aubry, S [237] E. uret e de fonctionnement des syst` emes de commande - exemple dapplication et rappels sur les RdP . Techniques de lIng enieur, S 8263, sept. 2008. [238] M. Bouissou et J.-L. Bon, A new formalism that combines advantages of fault-trees and Markov models : Boolean logic driven Markov processes , Reliability Engineering & System Safety, vol. 82, p. 149163, nov. 2003. [239] M. Bouissou, H. Bouhadana, M. Bannelier et N. Villatte, Knowledge modelling and reliability processing : Presentation of the FIGARO language and associated tools , dans Proceedings of the 10th International Conference on Computer Safety, Reliability and Security (SAFECOMP91), Trondheim, Norv` ege, p. 6975, nov. 1991. [240] A. Arnold, G. Point, A. Griffault et A. Rauzy, The AltaRica formalism for describing concurrent systems , Fundamenta Informaticae, vol. 40, no 2-3, p. 109124, 1999. [241] M. Bouissou et C. Seguin, Comparaison des langages de mod elisation AltaRica et FIGARO , dans Actes du 14e congr` es de abilit e et maintenabilit e de lIMdR (14), Lille, France, oct. 2006. [242] M. Boiteau, Y. Dutuit, A. Rauzy et J. Signoret, The AltaRica Dataow language in use : Assessment of production availability of a multistates system , Reliability Engineering & System Safety, vol. 91, p. 747 755, 2006. [243] M. Bouissou, Automated dependability analysis of complex systems with the KB3 workbench : the experience of EDF R&D , dans Proceedings of the International Conference on Energy and Environment (CIEM05), Buharest, Roumanie, oct. 2005. [244] M. Bouissou, KB3-BDMP, un nouveau couteau suisse pour vos etudes de abilit e de syst` emes . Transparents pr esent es au 16e congr` es de abilit e et maintenabilit e de lIMdR (16), Avignon, France, oct. 2008. [245] SAE International, Architecture Analysis & Design Language (AADL) . AS5506, jan. 2009. R ev. A. [246] A.-E. Rugina, Mod elisation et evaluation de la s uret e de fonctionnement - De AADL vers les r eseaux de P etri stochastiques. Th` ese de doctorat, Institut National Polytechnique de Toulouse (INPT) et Laboratoire dAnalyse et dArchitecture des Syst` emes du CNRS (LAAS), 2007. [247] P. Haas, Stochastic Petri nets. Springer, 2002. [248] Defense Science Board Task Force on Computer Security, Office of the U.S. Secretary of Defense, Security controls for computer systems . http://csrc.nist.gov/publications/history/ ware70.pdf, f ev. 1970. (ed. W. H. Ware). [249] U.S. DHS InfoSec Research Council, A roadmap for cybersecurity research . http://www.cyber. st.dhs.gov/docs/DHS-Cybersecurity-Roadmap.pdf, nov. 2009. [250] A. Jaquith, Security metrics : Replacing fear, uncertainty, and doubt. 1re edition, avril 2007. Addison-Wesley Professional,

[251] R. B. J. Vaughn, R. Henning et A. Siraj, Information assurance measures and metrics - state of practice and proposed taxonomy , dans Proceedings of the 36th Annual Hawaii International Conference on System Sciences (HICSS-36), Hawa , Etats-Unis, p. 1020, jan. 2003. [252] R. M. Savola, Towards a taxonomy for information security metrics , dans Proceedings of the 2007 ACM Workshop on Quality of Protection (QoP07), Alexandria, Etats-Unis, oct. 2007. [253] A. Hecker, On system security metrics and the denition approaches , dans Second International Conference on Emerging Security Information, Systems and Technologies (SECURWARE08), Cap Esterel, France, p. 412419, ao ut 2008. [254] W. Jansen, Directions in security metrics research . U.S. National Institute of Standards and Technology (NIST), NISTIR 7564, avril 2009.

161

[255] International Organization for Standardization (ISO) et International Electrotechnical Commission (IEC), Information technology security techniques measurement . ISO/IEC 27004, d ec. 2009. [256] E. Chew, M. Swanson, K. Stine, N. Bartol, A. Brown et W. Robinson, Performance measurement guide for information security . U.S. National Institute of Standards and Technology (NIST), SP 800-55 Rev. 1, juil. 2009. [257] M. Dacier, Vers une evaluation quantitative de la s ecurit e informatique. Th` ese de doctorat, Laboratoire dAnalyse et dArchitecture des Syst` emes du CNRS (LAAS), 1994. [258] International Standardization Organisation (ISO), Information technology security techniques evaluation criteria for IT security . IEC 15408, parties 1 a ` 3, 2008 a ` 2009. Edition 3.0. [259] ECSI et ISA Secure certification, Embedded Device Security Assurance (EDSA) brochure . http: //www.isasecure.org/PDFs/ISASecure-EDSA-Certification-March-2010.aspx, mars 2010. [260] J. R. Anderson et T. Moore, Information security : where computer science, economics and psychology meet , Philosophical Transactions of the Royal Society, vol. 367, p. 27172727, juil. 2009. [261] N. L. Foster, The application of software and safety engineering techniques to security protocol development. Th` ese de doctorat, Universit e de York, 2002. [262] M. Cheminod, I. Cibrario Bertolotti, L. Durante, R. Sisto et A. Valenzano, Tools for cryptographic protocols analysis : A technical and experimental comparison , Computer Standards & Interfaces, vol. 31, no 5, p. 954961, 2009. [263] O. Sheyner, Scenario Graphs and Attack Graphs. Th` ese de doctorat, Universit e Carnegie Mellon, 2004. curite des syste `mes dinformation (ANSSI), Expression des Besoins [264] Agence Nationale de la Se et Identication des Objectifs de S ecurit e (EBIOS) - M ethodes de gestion des risques . http://www.ssi. gouv.fr/IMG/pdf/EBIOS-1-GuideMethodologique-2010-01-25.pdf, jan. 2010. curite des syste `mes dinformation (ANSSI), Expression des Besoins [265] Agence Nationale de la Se et Identication des Objectifs de S ecurit e (EBIOS) - Bases de connaissances . http://www.ssi.gouv.fr/ IMG/pdf/EBIOS-2-BasesDeConnaissances-2010-01-25.pdf, jan. 2010. [266] S. Evans, D. Heinbuch, E. Kyule, J. Piorkowski et J. Wallner, Risk-based systems security engineering : stopping attacks with intention , IEEE Security and Privacy, vol. 2, no 6, p. 5962, 2004. [267] N. Mead, E. Hough et T. Stehney, Security quality requirements engineering (SQUARE) methodology , Rapport Technique CMU/SEI-2005-TR-009, Universit e Carnegie Mellon, 2005. [268] P. Herzog, OSSTMM 3.0 LITE - Introduction to the Open Source Security Testing Methodology Manual , ao ut 2008. [269] Open Web Application Security Project (OWASP) et M. Meucci, OWASP testing guide , 2008. Version 3. [270] D. Farmer et E. Spafford, The COPS security checker system , dans Proceedings of the Summer Usenix Conference, Anaheim, Etats-Unis, p. 165170, juin 1990. [271] W. Venema et D. Farmer, Improving the Security of your site by breaking into it . Post e sur Usenet, d ec. 1993. [272] J. Wack, M. Tracy et M. Souppaya, Guideline on network security testing . U.S. National Institute of Standards and Technology (NIST), SP 800-42, oct. 2003. [273] M. Howard, J. Pincus et J. M. Wing, Measuring relative attack surfaces , dans Proceedings of Workshop on Advanced Developments in Software and Systems Security, Taipei, Taiwan, p. 109137, d ec. 2003. [274] P. K. Manadhata, An Attack Surface. Th` ese de doctorat, Universit e Carnegie Mellon, d ec. 2008. [275] P. Mell, K. Scarfone et S. Romanosky, A complete guide to the Common Vulnerability Scoring System (CVSS) , juin 2007. Version 2. [276] J. D. Weiss, A system security engineering process , dans Proceedings of the 14th National Computer Security Conference (NCSC), Washington D.C., Etats-Unis, p. 572581, oct. 1991. [277] E. G. Amoroso, Fundamentals of computer security technology, chap. 2 - Threat Trees, p. 1529. Prentice Hall, Etats-Unis, 1994. [278] S. Kumar et E. H. Spafford, A pattern-matching model for instrusion detection , dans Proceedings of the 17th National Computer Security Conference (NCSC94), Baltimore, Etats-Unis, p. 1121, oct. 1994. [279] Y. Ho, D. Frincke et D. Tobin, Planning, Petri nets, and intrusion detection , dans Proceedings of the 21st National Information System Security Conference (NISCC98), Arlington, Etats-Unis, p. 346361, oct. 1998.

162

[280] S. T. Smith et J. J. Lim, Risk analysis in computer systems - an automated procedure , Information Age, vol. 7, p. 1518, jan. 1985. [281] U.S. Department of Defense (DoD), Standard practice for system safety . MIL-STD-882D, juin 1988. [282] M. Howard et D. LeBlanc, Writing Secure Code. Microsoft Press, 2e edition, 2002. [283] C. Salter, O. S. Saydjari, B. Schneier et J. Wallner, Toward a secure system engineering methodology , dans Proceedings of the 1998 Workshop on New Security Paradigms (NSPW 98), Charlottesville, Etats-Unis, p. 210, sept. 1998. [284] K. S. Edge, A Framework for Analyzing and Mitigating the Vulnerabilities of Complex Systems via Attack and Protection Trees. Th` ese de doctorat, Air Force Institute of Technology, juil. 2007. [285] A. P. Moore, R. J. Ellison et R. C. Linger, Attack modeling for information security and survivability , Rapport Technique CMU/SEI-2001-TN-001, Universit e Carnegie Mellon, mars 2001. [286] T. Tidwell, R. Larson, K. Fitch et J. Hale, Modeling internet attacks , dans Proceedings of the 2nd IEEE Systems, Man and Cybernetics Information Assurance Workshop (IAW 01), West Point, Etats-Unis, p. 5459, juin 2001. [287] A. Opel, Design and implementation of a support tool for attack trees , rapport de stage, Universit e Technique dEindhoven, mars 2005. [288] G. Helmer, J. Wong, M. Slagell, V. Honavar, L. Miller et R. Lutz, A software fault tree approach to requirements analysis of an intrusion detection system , Requirements Engineering Journal, vol. 7, p. 207220, d ec. 2002. [289] G. Helmer, J. Wong, M. Slagell, V. Honavar, L. Miller, Y. Wang, X. Wang et N. Stakhanova, Software fault tree and coloured Petri net-based specication, design and implementation of agent-based intrusion detection systems , International Journal of Information and Computer Security, vol. 1, no 1/2, p. 109142, 2007. [290] S. A. Camtepe et B. Yener, Modeling and detection of complex attacks , dans Proceedings of the 3rd International Conference on Security and Privacy in Communications Networks (SecureComm 2007), Nice, France, p. 234243, sept. 2007. [291] I. N. Fovino et M. Masera, Through the description of attacks : A multidimensional view , dans Proceedings of the 25th International Conference on Computer Safety, Reliability and Security (SAFECOMP06), LNCS 4166, Gdansk, Pologne, p. 1528, sept. 2006. [292] E. Byres, M. Franz et D. Miller, The use of attack trees in assessing vulnerabilities in SCADA systems , dans Proceedings of the International Infrastructure Survivability Workshop (IISW 2004), Lisbonne, Portugal, d ec. 2004. [293] C. D. Convery, S. et M. Franz, An attack tree for the border gateway protocol . IETF Internet Draft, f ev. 2004. [294] K. Edge, R. Raines, M. Grimaila, R. Baldwin, R. Bennington et C. Reuter, The use of attack and protection trees to analyze security for an online banking system , dans Proceedings of the 40th Annual Hawaii International Conference on System Sciences (HICSS-40), Hawa , Etats-Unis, p. 144b, jan. 2007. gi, Practical security analysis of e-voting systems , dans Advances in Information [295] A. Buldas et T. Ma and Computer Security, Proceedings of the 2nd International Workshop on Security (IWSEC), LNCS 4752, Nara, Japon, p. 320335, oct. 2007. iz et D. Luengo, Application of attack trees technique to [296] V. Higuero, J. J. Unzilla, E. Jacob, P. Sa copyright protection protocols using watermarking and denition of a new transactions protocol SecDP (secure distribution protocol) , dans Proceedings of the 2nd International Workshop on Multimedia Interactive Protocols and Systems (MIPS04), LNCS 3311, Grenoble, France, p. 264275, sept. 2004. [297] R. Cowan, M. Grimaila et R. Patel, Using attack and protection trees to evaluate risk in an embedded weapon system , dans Proceedings of the 3rd International Conference on Information Warfare and Security (ICIW 2008), Omaha, Etats-Unis, p. 97108, avril 2008. [298] K. Karppinen, Security measurement based on attack trees in a mobile ad hoc network environment , M emoire de master, VTT et Universit e de Oulu, 2005. [299] P. A. Khand et P. H. Seong, An attack model development process for the cyber security of safety related nuclear digital I&C systems , dans Proceedings of the Korean Nucleary Society (KNS) Fall meeting, Cor ee, oct. 2007.

163

[300] G.-Y. Park, C. K. Lee, J. G. Choi, D. H. Kim, Y. J. Lee et K.-C. Kwon, Cyber security analysis by attack trees for a reactor protection system , dans Proceedings of the Korean Nuclear Society (KNS) Fall Meeting, Pyeong Chang, Cor ee, oct. 2008. [301] S. C. Patel, J. H. Graham et P. A. Ralston, Quantitatively assessing the vulnerability of critical information systems : A new method for evaluating security enhancements , International Journal of Information Management, vol. 28, p. 483491, d ec. 2008. [302] C.-W. Ten, C.-C. Liu et M. Govindarasu, Vulnerability assessment of cybersecurity for SCADA systems using attack trees , dans Proceedings of the IEEE Power Engineering Society General Meeting, Tampa, Etats-Unis, p. 18, juin 2007. [303] S. McLaughlin, P. McDaniel et D. Podkuiko, Energy theft in the advanced metering infrastructure , dans Proceedings of the 4th International Workshop on Critical Information Infrastructure Security (CRITIS09), Bonn, Allemagne, 2009. [304] J. H. Espedalen, Attack trees describing security in distributed internet-enabled metrology , M emoire de master, Universit e de Gjvik, 2007. [305] D. L. Buckshaw, G. S. Parnell, W. L. Unkenholz, D. L. Parks, J. M. Wallner et O. S. Saydjari, Mission oriented risk and design analysis of critical information systems , Military Operations Research, vol. 10, no 2, p. 1938, 2005. [306] K. Clark, E. Singleton, S. Tyree et J. Hale, Strata-gem : risk assessment through mission modeling , dans Proceedings of the 4th ACM Workshop on Quality of Protection (QoP08), Alexandria, Virginia, EtatsUnis, p. 5158, oct. 2008. [307] I. Ray et N. Poolsapassit, Using attack trees to identify malicious attacks from authorized insiders , dans Proceedings of the 10th European Symposium on Research in Computer Security (ESORICS05), LNCS 3679, Milan, Italie, p. 231246, 2005. [308] I. Ray et N. Poolsapassit, Investigating computer attacks using attack trees , dans Proceedings of the 3rd IFIP WG 11.9 International Conference on Digital Forensics, (IFIP Volume 242), Orlando, Etats-Unis, p. 331343, jan. 2007. [309] K. Reddy, H. Venter, M. Olivier et I. Currie, Towards privacy taxonomy-based attack tree analysis for the protection of consumer information privacy , dans Proceedings of the 6th Annual Conference on Privacy, Security and Trust (PST 08), New Brunswick, Canada, p. 5664, oct. 2008. [310] S. Mauw et M. Oostdijk, Foundations of attack trees , dans Proceedings of the 8th Annual International Conference on Information Security and Cryptology (ICISC05), LNCS 3935, S eoul, Cor ee, p. 186198, d ec. 2005. [311] A. Buldas, P. Laud, J. Priisalu, M. Saarepera et J. Willemson, Rational choice of security measures via multi-parameter attack trees , dans Proceedings of the 1st International Workshop on Critical Information Infrastructure Security (CRITIS06), LNCS 4347, Iles de Samos, Gr` ece, p. 235248, sept. 2006. rgenson et J. Willemson, Computing exact outcomes of multi-parameter attack trees , dans [312] A. Ju Proceedings of the Confederated International Conferences on the Move to Meaningful Internet Systems (OTM 2008/IS 2008), LNCS 5332, Monterrey, Mexique, p. 10361051, nov. 2008. rgenson et J. Willemson, Processing multi-parameter attacktrees with estimated parameter va[313] A. Ju lues , dans Advances in Information and Computer Security, Proceedings of the 2nd International Workshop on Security (IWSEC), LNCS 4752, Nara, Japon, p. 308319, oct. 2007. [314] S. Bistarelli, M. DallAglio et P. Peretti, Strategic games on defense trees , dans Proceedings of the 4th International Workshop on Formal Aspects in Security and Trust (FAST 2006), LNCS 4691, Hamilton, Ontario, Canada, p. 115, ao ut 2006. [315] R. R. Yager, OWA trees and their role in security modeling using attack trees , Information Sciences, vol. 176, p. 29332959, oct. 2006. [316] K. Daley, R. Larson et J. Dawkins, A structural framework for modeling multi-stage network attacks , dans Proceedings of the 31st International Conference on Parallel Processing Workshops (ICPPW02), Vancouver, Canada, p. 510, ao ut 2002. [317] L. Grunske et D. Joyce, Quantitative risk-based security prediction for component-based systems with explicitly modeled attack proles , The Journal of Systems & Software, vol. 81, no 8, p. 13271345, 2008. [318] S. Bistarelli, F. Fioravanti et P. Peretti, Defense trees for economic evaluation of security investments , dans Proceedings of the 1st International Conference on Availability, Reliability and Security (ARES06), Vienne, Autriche, p. 416423, avril 2006.

164

 rgenson et J. Willemson, Serial model for attack tree computations , dans Proceedings of the [319] A. Ju 12th Annual International Conference on Information Security and Cryptology (ICISC09), LNCS 5984, S eoul, Cor ee, p. 118128, d ec. 2009. [320] P. A. Khand, System level security modeling using attack trees , dans Proceedings of the 2nd International Conference on Computer, Control and Communication (IC4), Karachi, Pakistan, p. 16, f ev. 2009. [321] J. P. McDermott, Attack net penetration testing , dans Proceedings of the 2000 Workshop on New Security Paradigms (NSPW00), Cork, Irlande, p. 1521, sept. 2000. rges, From security patterns to implementation using Petri nets , dans Procee[322] V. Horvath et T. Do dings of the 4th International Workshop on Software Engineering for Secure Systems (SESS08), Leipzig, Allemagne, p. 1724, 2008. [323] J. Steffan et M. Schumacher, Collaborative attack modeling , dans Proceedings of the 2002 ACM Symposium on Applied Computing (SAC02), Madrid, Espagne, p. 253259, mars 2002. [324] C.-W. Ten, C.-C. Liu et M. Govindarasu, Vulnerability assessment of cybersecurity for SCADA systems , IEEE Transactions on Power Systems, vol. 23, no 4, p. 18361846, 2008. [325] D. Xu et K. Nygard, Threat-driven modeling and verication of secure software using aspect-oriented Petri nets , IEEE Transactions on Software Engineering, vol. 32, no 4, p. 265278, 2006. [326] V. Gupta, V. Lam, H. Ramasamy, W. Sanders et S. Singh, Dependability and performance evaluation of intrusion-tolerant server architectures , dans Proceedings of the 1st Latin America Dependability Conference (LADC-1), LNCS 2847, S ao Paulo, Br esil, p. 81101, oct. 2003. [327] F. Stevens, T. Courtney, S. Singh, A. Agbaria, J. Meyer, W. Sanders et P. Pal, Model-based validation of an intrusion-tolerant information system , dans Proceedings of the 23rd IEEE International Symposium on Reliable Distributed Systems (SRDS), Florianpolis, Br esil, p. 184194, oct. 2004. [328] J. L. Rrushi et R. H. Campbell, Detecting cyber attacks on nuclear power plants , dans Proceedings of the 2nd Annual IFIP WG 11.10 International Conference on Critical Infrastructure Protection (CIP 2008), Washington D.C., Etats-Unis, p. 4154, mars 2008. [329] J. Rrushi, Exploiting physical process internals for network intrusion detection in process control networks , dans Proceedings of the 6th American Nuclear Society International Topical Meeting on Nuclear Plant Instrumentation, Control, and Human-Machine Interface Technologies (NPIC-HMIT 2009), Knox ville, Etats-Unis, avril 2009. [330] G. Dalton, R. Mills, J. Colombi et R. Raines, Analyzing attack trees using generalized stochastic petri nets , dans Proceedings of the 7th IEEE Systems, Man and Cybernetics Information Assurance Workshop (IAW 06), West Point, Etats-Unis, p. 116123, juin 2006. [331] S. Pudar, G. Manimaran et C.-C. Liu, PENET : a practical method and tool for integrated modeling of security attacks and countermeasures , Computers & Security, vol. 28, p. 754771, mai 2010. [332] W. J. Caelli, D. Longley et A. B. Tickle, A methodology for describing information and physical security architectures , dans Proceedings of the 8th IFIP TC11 International Conference on Information Security (SEC92), vol. A-15 dans IFIP Transactions, Singapoure, p. 277296, May 1992. [333] C. Meadows, A representation of protocol attacks for risk assessment , dans Proceedings of the DIMACS Workshop on Network Threats, New Brunswick, Etats-Unis, p. 110, d ec. 1996. [334] I. Cervesato et C. Meadows, One picture is worth a dozen connectives : A fault-tree representation of NPATRL security requirements , IEEE Transactions on Dependable and Secure Computing, vol. 4, p. 216227, juil. 2007. [335] I. S. Moskowitz et M. H. Kang, An insecurity ow model , dans Proceedings of the 1997 Workshop on New Security Paradigms (NSPW97), Langdale, Royaume-Uni, p. 6174, sept. 1997. [336] M. A. McQueen, W. F. Boyer, M. A. Flynn et G. A. Beitel, Quantitative cyber risk reduction estimation methodology for a small SCADA control system , dans Proceedings of the 39th Annual Hawaii International Conference on System Sciences (HICSS-39), vol. 9, Hawa , Etats-Unis, p. 226237, jan. 2006. [337] E. Byres et D. Leversage, Estimating a systems mean time-to-compromise, , IEEE Security & Privacy Magazine, vol. 6, p. 5260, 2008. [338] D. J. Leversage et E. J. Byres, Comparing electronic battleelds : Using mean time-to-compromise as a comparative security metric , dans Proceedings of the 4th International Conference on Methods, Models, and Architectures for Network Security (MMM-ACNS07), Saint-P etersbourg, Russie, p. 213227, sept. 2007.

165

[339] C. Phillips et L. P. Swiler, A graph-based system for network-vulnerability analysis , dans Proceedings of the 1998 Workshop on New Security Paradigms (NSPW98), Charlottesville, Etats-Unis, p. 7179, sept. 1998. [340] L. P. Swiler, C. Phillips, D. Ellis et S. Chakerian, Computer-attack graph generation tool , dans Proceedings of the DARPA Information Survivability Conference and Exposition II (DISCEX01), vol. 2, Anaheim, Etats-Unis, p. 307321, 2001. [341] O. Sheyner, J. Haines, S. Jha, R. Lippmann et J. Wing, Automated generation and analysis of attack graphs , dans Proceedings of the IEEE Symposium on Security and Privacy (S&P02), Oakland, EtatsUnis, p. 273284, mai 2002. [342] P. Ammann, D. Wijesekera et S. Kaushik, Scalable, graph-based network vulnerability analysis , dans Proceedings of the 9th ACM Conference on Computer and Communications Security (CCS02), Washington D.C., Etats-Unis, p. 217224, nov. 2002. [343] S. Noel, S. Jajodia, B. OBerry et M. Jacobs, Ecient minimum-cost network hardening via exploit dependency graphs , dans Proceedings of the 19th Annual Computer Security Applications Conference (ACSAC03), Las Vegas, Etats-Unis, p. 8695, d ec. 2003. [344] N. S. Jajodia, S. et B. Oberry, Managing Cyber Threats : Issues, Approaches, and Challenges, chap. 9, Topological Analysis of Network Attack Vulnerability, p. 247266. Springer US, 2005. [345] X. Ou, W. F. Boyer et M. A. McQueen, A scalable approach to attack graph generation , dans Proceedings of the 13th ACM conference on Computer and Communications Security (CCS06), Alexandria, Etats-Unis, p. 336345, nov. 2006. [346] L. R. Ingols, K. et K. Piwowarski, Practical attack graph generation for network defense , dans Proceedings of the 22nd Annual Computer Security Applications Conference (ACSAC06), Washington D.C., Etats-Unis, p. 121130, d ec. 2006. [347] R. Lippmann et K. Ingols, An annotated review of past papers on attack graphs , Rapport Technique ESC-TR-2005-054, Massachusetts Institute of Technology (MIT), mars 2005. [348] V. Mehta, C. Bartzis, H. Zhu, E. Clarke et J. Wing, Ranking attack graphs , dans Proceedings of the 9th International Symposium on Recent Advances in Intrusion Detection (RAID06), LNCS 4219, Hambourg, Allemagne, p. 127144, sept. 2006. [349] B. S. Malhotra, S. et S. K. Ghosh, A vulnerability and exploit independent approach for attack path prediction , dans Proceedings of the IEEE 8th International Conference on Computer and Information Technology Workshops, Sydney, Australie, p. 282287, juil. 2008. [350] L. Wang, T. Islam, T. Long, A. Singhal et S. Jajodia, An attack graph-based probabilistic security metric , dans Proceeedings of the 22nd Annual IFIP WG 11.3 Working Conference on Data and Applications Security (DAS2008), LNCS 5094, Londres, Royaume-Uni, p. 283296, juil. 2008. [351] S. Noel et S. Jajodia, Managing attack graph complexity through visual hierarchical aggregation , dans Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security (VizSEC04), Fairfax, Etats-Unis, p. 109118, oct. 2004. [352] S. Noel, M. Jacobs, P. Kalapa et S. Jajodia, Multiple coordinated views for network attack graphs , dans Proceedings of the 2005 IEEE Workshop on Visualization for Computer Security (VizSEC 05), Min neapolis, Etats-Unis, p. 99106, oct. 2005. [353] L. Williams, R. Lippmann et K. Ingols, An interactive attack graph cascade and reachability display , dans Proceedings of the 2007 Workshop on Visualization for Computer Security (VizSEC07), Sacramento, Etats-Unis, p. 221236, oct. 2007. [354] V. A. O. X. Homer, J. et M. A. Mcqueen, Improving attack graph visualization through data reduction and attack grouping , dans Proceedings of the 5th international Workshop on Visualization For Computer Security (VizSEC08), Cambridge, Etats-Unis, p. 6879, sept. 2008. [355] I. Kotenko et M. Stepashkin, Analyzing network security using malefactor action graphs , International Journal of Computer Science and Network Security, vol. 6, no 6, p. 226236, 2006. [356] S. Braynov et M. Jadliwala, Representation and analysis of coordinated attacks , dans Proceedings of the 2003 ACM Workshop on Formal Methods in Security Engineering (FMSE03), Washington D.C., Etats-Unis, p. 4351, 2003. [357] J. Dawkins et J. Hale, A systematic approach to multi-stage network attack analysis , dans Proceedings of the 2nd IEEE International Information Assurance Workshop (IAWA04), Charlotte, Etats-Unis, p. 48 56, avril 2004.

166

[358] K. Clark, S. Tyree, J. Dawkins et J. Hale, Qualitative and quantitative analytical techniques for network security assessment , dans Proceedings of the 5th IEEE Systems, Man and Cybernetics Information Assurance Workshop (IAW04), West Point, Etats-Unis, p. 321328, juin 2004. [359] Y. Liu et H. Man, Network vulnerability assessment using Bayesian networks , dans Proceedings of SPIE Data Mining, Intrusion Detection, Information Assurance, and Data Networks Security 2005, vol. 5812, Orlando, Etats-Unis, p. 6171, mars 2005. [360] M. Frigault, L. Wang, A. Singhal et S. Jajodia, Measuring network security using dynamic Bayesian network , dans Proceedings of the 4th ACM Workshop on Quality of Protection (QoP08), Alexandria, Etats-Unis, p. 2330, oct. 2008. [361] S. H. Houmb, V. N. Franqueira et E. A. Engum, Quantifying security risk level from CVSS estimates of frequency and impact , Journal of Systems and Software, 2009. Sous presse (disponible en ligne). [362] X. An, D. Jutla et N. Cercone, Privacy intrusion detection using dynamic Bayesian networks , dans Proceedings of the 8th International Conference for Electronic Commerce (ICEC06), Fredericton, Canada, p. 208215, ao ut 2006. [363] T. Sommestad, M. Ekstedt et P. Johnson, Combining defense graphs and enterprise architecture models for security analysis , dans Proceedings of the 12th IEEE International Conference on Enterprise Distributed Object Computing (EDOC08), Munich, Allemagne, p. 349355, sept. 2008. [364] U. Franke, T. Sommestad, M. Ekstedt et P. Johnson, Defense graphs and enterprise architecture for information assurance analysis , dans Proceedings of the 26th Army Science Conference, Orlando, Etats-Unis, d ec. 2008. [365] T. Sommestad, M. Ekstedt et P. Johnson, Cyber security risks assessment with bayesian defense graphs and architectural models , dans Proceedings of the 42nd Annual Hawaii International Conference on System Sciences (HICSS-42), Hawa , Etats-Unis, p. 110, jan. 2009. [366] M. Ekstedt et T. Sommestad, Enterprise architecture models for cyber security analysis , dans Procee dings of the IEEE/PES Power System Conference and Exposition (PSCE09), Seattle, Etats-Unis, p. 16, mars 2009. m, Modeling security of power communication systems [367] T. Sommestad, M. Ekstedt et L. Nordstro using defense graphs and inuence diagrams , IEEE Transactions on Power Delivery, vol. 24, p. 1801 1808, oct. 2009. m, P. Na rman et M. Simonsson, Enterprise architecture analysis with [368] P. Johnson, R. Lagerstro extended inuence diagrams , Information Systems Frontiers, vol. 9, p. 163180, juil. 2007. [369] J. McDermott et C. Fox, Using abuse case models for security requirements analysis , dans Proceedings of the 15th Annual Computer Security Applications Conference (ACSAC99), Phoenix, Etats-Unis, p. 5564, d ec. 1999. [370] D. J. Firesmith, Security use cases , Journal of Object Technology, vol. 2, p. 5364, mai 2003. [371] G. Sindre et A. L. Opdahl, Eliciting security requirements by misuse cases , dans Proceedings of 37th International Conference on Technology of Object-Oriented Languages and Systems (TOOLS-PACIFIC 2000), Sydney, Australie, p. 120131, nov. 2000. [372] G. Sindre et A. L. Opdahl, Templates for misuse case description , dans Proceedings of the 7th International Working Conference on Requirements Engineering : Foundation for Software Quality (REFSQ 2001), Interlaken, Suisse, p. 125136, juin 2001. [373] G. Sindre, A. L. Opdahl et G. F. Brevik, Generalization/specialization as a structuring mechanism for misuse cases , dans Proceedings of the 2nd Symposium on Requirements Engineering for Information Security (SREIS02), Raleigh, Etats-Unis, oct. 2002. [374] I. Alexander, Misuse cases : Use cases with hostile intent , IEEE software, vol. 20, no 1, p. 5866, 2003. [375] G. Sindre et A. L. Opdahl, Eliciting security requirements with misuse cases , Requirements Engineering, vol. 10, no 1, p. 3444, 2005. [376] L. Rstad, An extended misuse case notation : Including vulnerabilities and the insider threat , dans Proceedings of the 12th International Working Conference on Requirements Engineering : Foundation for Software Quality (REFSQ 2006), Luxembourg, Grand-Duch e de Luxembourg, juin 2006. [377] A. L. Opdahl et G. Sindre, Experimental comparison of attack trees and misuse cases for security threat identication , Information and Software Technology, vol. 51, no 5, p. 916932, 2009.

167

[378] I. Tndel, J. Jensen et L. Rstad, Combining misuse cases with attack trees and security activity models , dans The 4th International Conference on Availability, Reliability and Security (ARES 2010), Cracovie, Pologne, p. 438445, f ev. 2010. [379] P. H. Meland, I. A. Tndel et J. Jensen, Idea : Reusability of threat models - two approaches with an experimental evaluation , dans International Symposium on Engineering Secure Software and Systems (ESSoS), Pise, Italie, p. 114122, f ev. 2010. [380] G. Sindre, Mal-activity diagrams for capturing attacks on business processes , dans Proceedings of the 13th International Working Conference on Requirements Engineering : Foundation for Software Quality (REFSQ 2007), LNCS 4542, Trondheim, Norv` ege, p. 355366, juin 2007. [381] H. D. Mamadou, J. Romero-Mariona, E. S. Sim et D. J. Richardson, A comparative evaluation of three approaches to specifying security requirements , dans Proceedings of the 12th International Working Conference on Requirements Engineering : Foundation for Software Quality (REFSQ 2006), Luxembourg, Grand-Duch e du Luxembourg, juin 2006. [382] F. Cuppens et N. Cuppens-Boulahia, La s ecurit e des r eseaux et syst` emes r epartis, chap. Les mod eles de s ecurit e F. Cuppens, N. Cuppens-Boulahia. Herm` es, 2003. [383] M. Bishop, Computer Security : Art and Science. Addison Wesley Professional, 2003. [384] R. Anderson, F. Stajano et J. Lee, Advances in Computer, vol. 55, chap. Security policies, p. 186237. Academic Press, juil. 2001. [385] E. Jonsson et T. Olovsson, On the integration of security and dependability in computer systems , dans Proceedings of the IASTED International Conference on Reliability, Quality Control and Risk Assessment, Washington D.C., Etats-Unis, p. 9397, 1992. [386] D. F. C. Brewer, Applying security techniques to achieve safety , dans Proceedings of the 3rd Safetycritical Systems Symposium (SSS93), Bristol, U.K., p. 246256, f ev. 1993. [387] J.-C. Laprie et Y. Deswarte, Saturne : syst` emes r epartis tol erant les fautes et les intrusions , Rapport Technique 84.023, Laboratoire dAnalyse et dArchitecture des Syst` emes du CNRS (LAAS), avril 1984. [388] J. Fraga et D. Powell, A fault and intrusion-tolerant le system , dans Proceedings of the IFIP 3rd International Conference on Computer Security (SEC85), Dublin, Irlande, p. 203218, ao ut 1985. [389] Y. Koga, E. Fukushima et K. Yoshihara, Error recoverable and securable data communication for computer network , dans Proceedings of the 12th IEEE International Symposium on Fault-Tolerant Computing (FTCS-12), Santa-Monica, Etats-Unis, p. 183186, juin 1982. [390] Y. Deswarte, L. Blain et J.-C. Fabre, Intrusion tolerance in distributed systems , dans Proceedings of the 1991 IEEE Symposium on Research in Security and Privacy (S&P91), Oakland, Etats-Unis, p. 110121, mai 1991. [391] J. E. Dobson et B. Randell, Building reliable secure computing systems out of unreliable insecure components , dans Proceedings of the 1986 IEEE Symposium on Security and Privacy (S&P86), Oakland, Etats-Unis, p. 187193, avril 1986. [392] C. Meadows, Applying the dependability paradigm to computer security , dans Proceedings of the 1995 Workshop on New Security Paradigms (NSPW95), La Jolla, Etats-Unis, p. 7579, ao ut 1995. [393] P. Ver ssimo, N. Neves et M. Correia, Architecting Dependable Systems, LNCS 2677, chap. IntrusionTolerant Architectures : Concepts and Design, p. 336. Springer, 2003. [394] D. Powell, A. Adelsbasch, C. Cachin, S. Creese, M. Dacier, Y. Deswarte, T. McCutcheon, N. Neves, B. Pfitzmann, B. Randell, R. Stroud, P. Ver ssimo et M. Waidner, MAFTIA (Malicious- and Accidental-Fault Tolerance for Internet Applications) , dans Proceedings of the 31st Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2001), Supplemental Volume, G oteborg, Su` ede, p. 3235, juil. 2001. [395] Y. Deswarte et D. Powell, Intrusion tolerance for internet applications , dans Proceedings of the IFIP World Computer Congress, vol. IFIP 156/2004, Toulouse, France, p. 241256, ao ut 2004. [396] R. J. Ellison, D. A. Fisher, R. C. Linger, H. F. Lipson, T. Longstaff et N. R. Mead, Survivable network systems : An emerging discipline , Rapport Technique CMU/SEI-97-TR-013, Universit e Carnegie Mellon, mai 1997. [397] J.-C. Laprie, From dependability to resilience , dans Proceedings of the 38th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2008), Supplemental Volume, Anchorage, Etats-Unis, juin 2008.

168

[398] P. Veriss mo, N. Neves et M. Correia, The CRUTIAL reference critical information infrastructure architecture : a blueprint , International Journal of System of Systems Engineering, vol. 1, no 1-2, p. 7895, 2008. [399] P. Sousa, A. Bessani, W. Dantas, F. Souto, M. Correia et N. Neves, Intrusion-tolerant self-healing devices for critical infrastructure protection , dans Proceedings of the 39th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2009), Estoril, Portugal, p. 217222, juil. 2009. Totel, F. Majorczyk et L. Me , COTS diversity based intrusion detection and application to Web [400] E. servers , dans Proceedings of the 8th International Symposium on Recent Advances in Intrusion Detection (RAID05), LNCS 3858, Seattle, Etats-Unis, p. 4362, sept. 2005. niart, Analyse de s [401] D. Que uret e. Principes et pratiques . Techniques de lIng enieur, B 3 810, mai 1996. [402] International Atomic Energy Agency (IAEA), International Nuclear Safety Group (INSAG), Defence in depth in nuclear safety . INSAG-10, STI/PUB/1013, 1996. [403] U.S. National Security Agency (NSA), Defense in depth, a practical strategy for achieving information assurance in todays highly networked environments . Guide NSA, Information Assurance Mission, http://www.nsa.gov/ia/_files/support/defenseindepth.pdf. [404] K. Dauch, A. Hovak et R. Nestler, Information assurance using a defense in-depth strategy , dans Proceedings of the Cybersecurity Applications & Technology Conference for Homeland Security (CATCH), Washington D.C., Etats-Unis, p. 267272, mars 2009. [405] J. Reason, Human Error. Cambridge University Press, 1990. [406] R. Winther, O.-A. Johnsen et B. A. Gran, Security assessments of safety critical systems using HAZOPs , dans Proceedings of the 20th International Conference on Computer Safety, Reliability and Security (SAFECOMP 2001), LNCS 2187, Budapest, Hongrie, p. 1424, sept. 2001. [407] N. Foster et J. Jacob, Hazard analysis for security protocol requirements , dans Proceedings of the 1st International IFIP Working Conference on Network Security, Louvain, Belgique, p. 7592, nov. 2001. [408] T. Srivatanakul, Security Analysis with Deviational Techniques. Th` ese de doctorat, Universit e de York, 2005. [409] P. Baybutt, Sneak path analysis (SPSA) for industrial cyber security , Rapport Technique, Primatech, 2003. [410] P. Baybutt, Sneak path analysis : Security application nds cyber threats, then works to protect a system , ISA InTech, vol. 51, sept. 2004. [411] A. Gorbenko, V. Kharchenko, O. Tarasyuk et A. Furmanov, Rigorous Development of Complex FaultTolerant Systems (LNCS 4157), chap. F(I)MEA-Technique of Web-services Analysis and Dependability Ensuring, p. 153167. Springer, 2006. [412] E. Babeshko, V. Kharchenko et A. Gorbenko, Applying F(I)MEA-technique for SCADA-based industrial control systems dependability assessment and ensuring , dans Proceeding of the 3rd International Conference on Dependability of Computer Systems (DepCoS-RELCOMEX), Szklarska Poreba, Pologne, p. 309315, juin 2008. [413] J. R. Inge, The safety case, its development and use in the United Kingdom , dans Proceedings of the 25th International System Safety Conference (ISSC), Baltimore, Etats-Unis, p. 725730, ao ut 2007. [414] P. G. Bishop et R. E. Bloomfield, A methodology for safety case development , dans Proceedgins of the 6th Safety-critical Systems Symposium (SSS98), Birmingham, Royaume-Uni, f ev. 1998. [415] R. E. Bloomfield, S. Guerra, M. Masera, A. Miller et C. B. Weinstock, International working group on assurance cases (for security) , IEEE Security & Privacy, vol. 4, p. 6668, mai 2006. [416] R. Bloomfield et P. Bishop, Safety and assurance cases : Past, present and possible future - an Adelard perspective , dans Proceedings of the 18th Safety-Critical Systems Symposium (SSS 2010), Bristol, Royaume-Uni, p. 5167, f ev. 2010. [417] R. Weaver, The Safety of Software : Constructing and Assuring Arguments. Th` ese de doctorat, Universit e de York, 2003. [418] J. Goodenough, H. Lipson et C. Weinstock, Arguing security - creating security assurance cases , rapport en ligne (initiative build security-in du U.S. CERT ), Universit e Carnegie Mellon, jan. 2007. [419] H. Lipson et C. Weinstock, Evidence of assurance : Laying the foundation for a credible security case , rapport en ligne (initiative build security-in du U.S. CERT ), Universit e Carnegie Mellon, mai 2008.

169

[420] T. P. Kelly, Arguing Safety - A Systematic Approach to Managing Safety Cases. Th` ese de doctorat, Universit e de York, 1998. [421] K. Moleyar et A. Miller, Formalizing attack trees for a SCADA system , dans 1st Annual IFIP WG 11.10 International Conference on Critical Infrastructure Protection (CIP 2007), Hanover, Etats-Unis, mars 2007. Session papiers courts (hors actes du congr` es, disponible en ligne). [422] S. Brostoff et M. A. Sasse, Safe and sound : a safety-critical approach to security , dans Proceedings of the 2001 Workshop on New Security Paradigms (NSPW01), Cloudcro, Etats-Unis, p. 4151, Sep 2001. [423] U.K. Ministry of Defence (MoD), Directorate of Standardization, Requirements for safetyrelated software in defense equirment - part 1 - requirements . Interim MoD-Def-Stan-00-55 (Part 1)/Issue 1, avril 1991. [424] International Society of Automation (ISA), Application of safety instrumented systems for the process industries . ISA84.01-1996, avril 1996. [425] N. Kube et B. Singer, Security assurance levels : a SIL approach to security , dans Procdeedings of the 2nd SCADA Security Scientic Symposium (S4), Miami, Etats-Unis, jan. 2008. [426] P. Gruhn, Safety, security groups form joint working group . ISA InTech, juin 2009. [427] D. K. Holstein et K. Stouffer, Trust but verify critical infrastructure cyber security solutions , dans Proceedings of the 43rd Hawaii International Conference on System Sciences (HICSS-43), Hawa , Etats-Unis, p. 18, jan. 2010. [428] J. Arlat, Validation de la s uret e de fonctionnement par injection de fautes, m ethode - mise en uvre application. Th` ese d etat, Laboratoire dAnalyse et dArchitecture des Syst` emes du CNRS (LAAS), 1990. [429] J. R. Voas, Testing software for characteristics other than correctness : Safety, failure tolerance, and security , dans Proceedings of the 10th International Conference on Testing Computer Software, Washington D.C., Etats-Unis, juin 1996. [430] M. Sutton, A. Greene et P. Amini, Fuzzing : Brute Force Vulnerability Discovery. Addison-Wesley Professional, 2007. [431] A. Ozment, Software security growth modeling : Examining vulnerabilities with reliability growth models , dans Proceedings of the 1st Workshop on Quality of Protection (QoP05), Milan, Italie, p. 2536, sept. 2005. [432] E. Rescorla, Is nding security holes a good idea ? , dans Proceedings of the 3rd Workshop on Economics and Information Security (WEIS04), Minneapolis, Minnesota, Etats-Unis, mai 2004. [433] M. D. Schroeder, Engineering a security kernel for multics , dans Proceedings of the 5th ACM Sympo sium on Operating Systems Principles, Austin, Etats-Unis, p. 2532, 1975. [434] S. R. J. Ames, M. Gasser et R. R. Schell, Security kernel design and implementation : An introduction , Computer, vol. 16, no 7, p. 1422, 1983. [435] J. Rushby, Kernels for safety ? , dans Proceedgins of the Safety-critical Systems Symposium (SSS86), Glasgow, Ecosse, p. 210220, oct. 1986. [436] N. G. Leveson, T. J. Shimeall, J. L. Stolzy et J. C. Thomas, Design for safe software , dans Proceedings of the 21st Aerospace Sciences Meeting of the American Institute of Aeronautics and Astronautics, Reno, Etats-Unis, p. 1013, 1983. [437] K. G. Wika et J. C. Knight, A safety kernel architecture , Rapport Technique CS-94-04, Universit e de Virginie, 1994. [438] J.-L. Boulanger, V. Delebarre, S. Natkin et J. Ozello, Deriving safety properties of critical software from the system risk analysis, application to ground transportation systems , dans Proceedings of the 2nd IEEE High-Assurance Systems Engineering Workshop (HASE97), Washington D.C., Etats-Unis, p. 162 167, ao ut 1997. [439] A. Simpson, J. Woodcock et J. Davies, Safety through security , dans Proceedings of the 9th International Workshop on Software Specication and Design (IWSSD 98), Japon, p. 1824, Apr 1998. [440] J. Goguen et J. Meseguer, Security policies and security models , dans Proceedings of the IEEE Symposium on Security and Privacy (S&P82), Oakland, Etats-Unis, p. 1120, avril 1982. [441] A. W. Roscoe, The theory and practice of concurrency. Prentice Hall, 1998. [442] V. Stavridou et B. Dutertre, From security to safety and back , dans Proceedings of the Computer Security, Dependability, and Assurance : From Needs to Solutions (CSDA98), York, Royaume-Uni, p. 182 195, juil. 1998.

170

 Totel, J.-P. Blanquart, Y. Deswarte et D. Powell, Supporting multiple levels of criticality , [443] E. dans Proceedings of the 28th IEEE Symposium on Fault Tolerant Computing Systems (FTCS-28), Munich, Allemagne, p. 7079, juin 1998. jac [444] D. Powell, J. Arlat, L. Beus-Dukic, A. Bondavalli, P. Coppola, A. Fantechi, E. Jenn, C. Rabe et A. Wellings, GUARDS : a generic upgradable architecture for real-time dependable systems , IEEE Transactions on Parallel and Distributed Systems, vol. 10, no 6, p. 580599, 1999. [445] Y. Laarouchi, Y. Deswarte, D. Powell, J. Arlat et E. de Nadai, Connecting commercial computer to avionics systems , dans Proceedings of the 28th Digital Avionics System Conference (DASC09), Orlando, Etats-Unis, p. 6.D.1.19, oct. 2009. [446] G. Sindre, Situational Method Engineering : Fundamentals and Experiences, vol. 244/2007 dans IFIP International Federation for Information Processing, chap. A Look at Misuse Cases for Safety Concerns, p. 252266. Springer Boston, 2007. [447] I. Alexander, Initial industrial experience of misuse cases in trade-o analysis , dans Proceedings of the 10th Anniversary IEEE Joint International Requirements Engineering Conference (RE02), Essen, Allemagne, p. 61 70, sept. 2002. [448] T. St alhane et G. Sindre, A comparison of two approaches to safety analysis based on use cases , dans Proceedings of the 26th International Conference on Conceptual Modeling (ER 2007), LNCS 4801, Auckland, Nouvelle-Z elande, p. 423437, nov. 2007. [449] J. Ridgway, Achieving safety through security management , dans Proceedings of the 15th Safety-Critical Systems Symposium (SSS 2007), Bristol, Royaume-Uni, p. 320, f ev. 2007. [450] T. Novak et A. Treytl, Common approach to functional safety and system security in building automation and control systems , dans Proceedings of the 12th IEEE Conference on Emerging Technologies and Factory Automation (ETFA07), Patras, Gr` ece, p. 11411148, sept. 2007. [451] T. Novak, A. Treytl et A. Gerstinger, Embedded security in safety critical automation systems , dans Proceedings of the 26th International System Safety Conference (ISSC 2008), Vancouver, Canada, p. S.111, ao ut 2008. niche, P. Corneillie et J. Goodson, SQUALE dependability assessment crite[452] Y. Deswarte, M. Kaa ria , dans Proceedings of the 18th International Conference on Computer Safety, Reliability and Security (SAFECOMP99), LNCS1698, Toulouse, France, p. 2738, sept. 1999. [453] P. Corneillie, S. Moreau, C. Valentin, J. Goodson, A. Hawes, T. Manning, H. Kurth, G. Lie aniche et P. Benoit, Dependability assessment criteria, bisch, A. Steinacker, Y. Deswarte, M. Kaa SQUALE project (ACTS95/AC097) , Rapport Technique 98456, Laboratoire dAnalyse et dArchitecture des Syst` emes du CNRS (LAAS), jan. 1999. [454] P. H. Jesty et D. D. Ward, Towards a unied approach to safety and security in automotive systems , dans Proceedings of the 15th Safety-Critical Systems Symposium (SSS 2007), Bristol, Royaume-Uni, p. 21 34, f ev. 2007. [455] J. Alves-Foss, B. Rinker et C. Taylor, Towards Common Criteria certication for DO-178B compliant airborne software systems . Universit e dIdaho, 2002. [456] B. J. Garrick, J. Hall, M. Kilger, J. Mcdonald, T. OToole, P. Probst, E. R. Parker, R. Rosenthal, A. Trivelpiece, L. Van Arsdale et E. L. Zebroski, Confronting the risks of terrorism : making the right decisions , Reliability Engineering & System Safety, vol. 86, no 2, p. 129176, 2004. [457] R. Wilson, Combating terrorism : an event tree approach , dans Proceedings of the 27th International Seminar on Nuclear War and Planetary Emergencies, Erice, Italie, p. 122145, ao ut 2002. [458] G. Woo, Quantitative terrorism risk assessment , The Journal of Risk Finance, vol. 4, no 1, p. 714, 2002. [459] Y. Y. Haimes, Accident precursors, terrorist attacks, and systems engineering . Pr esentation pr epar ee pour le NAE Workshop on Project on Accident Precursors (disponible en ligne), juil. 2003. [460] G. Cojazzi, S. Contini et G. Renda, FT analysis in security related applications : Challenges and needs , dans Proceedings of the 29th ESReDA Seminar on Systems Analysis for a More Secure World : Application of System Analysis and RAMS to Security of Complex System, Ispra, Italie, p. 345366, oct. 2005. [461] International Society of Automation (ISA), System security requirements and security assurance levels . ISA99.03.03, 2010. Draft. [462] R. K. Flink, D. F. Spencer et R. A. Wells, Lessons learned from cyber security assessments of SCADA and energy management systems , Rapport Technique INL/CON-06-11665, Idaho National Laboratory, sept. 2006.

171

[463] J. Davidson et J. Wright, Recommended practice for securing control system modems . U.S. Department of Homeland Security (DHS), National Cyber Security Division, jan. 2008. `tre-Cambace de `s et M. Bouissou, Beyond attack trees : dynamic security modeling with Boolean [464] L. Pie logic Driven Markov Processes (BDMP) , dans Proceedings of the 8th European Dependable Computing Conference (EDCC-8), Valence, Espagne, p. 199208, avril 2010. [465] G. Sindre, A. L. Opdahl et D. G. Firesmith, A reuse-based approach to determining security requirements , dans Proceedings of the 9th International Working Conference on Requirements Engineering : Foundation for Software Quality (REFSQ 2003), Montpellier, France, p. 127136, juin 2003. [466] J. Pestourie, G. Malarange, E. Breton, S. Muffat et M. Bouissou, Etude de la s uret e de fonctionnement dun poste source EDF (90/20 kV) avec le logiciel OPALE , dans Actes du 14e congr` es de abilit e et maintenabilit e de lIMdR (14), Bourges, France, oct. 2004. [467] P. Carer, J. Bellvis, M. Bouissou, J. Domergue et J. Pestourie, A new method for reliability assessment of electrical power supplies with standby redundancies , dans Proceedings of the 7th International Conference on Probabilistic Methods Applied to Power Systems (PMAPS02), Naples, Italie, sept. 2002. [468] E. Skoudis, Counter hack : a step-by-step guide to computer attacks and eective defenses. Prentice Hall PTR, 2001. [469] M. Bouissou et Y. Dutuit, Reliability analysis of a dynamic phased mission system , dans Proceedings of the 4th International Conference on Mathematical Methods in Reliability (MMR04), Santa Fe, New Mexique, Etats-Unis, juin 2004. [470] M. Bouissou et Y. Lefebvre, A path-based algorithm to evaluate asymptotic unavailability for large Markov models , dans Proceedings of the 48th Reliability and Maintainability Annual Symposium (RAMS02), Seattle, Etats-Unis, p. 3239, 2002. [471] M. Bouissou, Recherche et quantication automatique de s equences accidentelles pour un syst` eme r eparable , dans Actes du 5e congr` es de abilit e et maintenabilit e de lIMdR (5), Biarritz, France, oct. 1986. [472] P. Harrison, Laplace transform inversion and passage time distributions in Markov processes , Journal of Applied Probability, vol. 27, no 1, p. 7487, 1990. [473] J. Collet et I. Renault, Path probability evaluation with repeated rates , dans Proceedings of the 43rd Reliability and Maintainability Annual Symposium (RAMS97), Philadelphia, Etats-Unis, p. 184187, jan. 1997. [474] Y. Lefebvre, Nouveaux d eveloppements et justications de m ethodes de calcul de mesures de performance en s uret e de fonctionnement. Th` ese de doctorat, Universit e de Marne-la-Vall ee, 2003. [475] E. Jonsson et T. Olovsson, A quantitative model of the security intrusion process based on attacker behavior , IEEE Transactions on Software Engineering, vol. 23, no 4, p. 235245, 1997. [476] K. Sallhammar, Stochastic models for combined security and dependability evaluation. Th` ese de doctorat, Universit e Norv egienne de Sciences et Technologies (NTNU), 2007. [477] R. Pullen, Attacktree+, a computer tool for modeling attack scenarios , dans Proceedings of the 29th ESReDA Seminar on Systems Analysis for a More Secure World : Application of System Analysis and RAMS to Security of Complex System, Ispra, Italie, p. 333343, oct. 2005. [478] R. Dewri, N. Poolsappasit, I. Ray et D. Whitley, Optimal security hardening using multi-objective optimization on attack tree models of networks , dans Proceedings of the 14th ACM conference on Computer and Communications Security (CCS07), Alexandria, Etats-Unis, p. 204213, oct. 2007. `tre-Cambace de `s et M. Bouissou, Attack and defense dynamic modeling with BDMP , dans [479] L. Pie Proceedings of the 5th International Conference on Mathematical Methods, Models, and Architectures for Computer Networks Security (MMM-ACNS-2010), LNCS 6258, Saint-P etersbourg, Russie, p. 86101, sept. 2010. `tre-Cambace de `s et M. Bouissou, The promising potential of the BDMP formalism for security [480] L. Pie modeling , dans Proceedings of the 39th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2009), Supplemental Volume, Estoril, Portugal, juin 2009. Fast Abstract track. [481] D. Coppit, K. J. Sullivan et J. B. Dugan, Formal semantics of models for computational engineering : A case study on dynamic fault trees , dans Proceedings of the 11th International Symposium on Software Reliability Engineering (ISSRE00), San Jose, Etats-Unis, p. 270282, oct. 2000. [482] S. Distefano et A. Puliafito, Dependability evaluation using dynamic reliability block diagrams and dynamic fault trees , IEEE Transaction on Dependable and Secure Computing, vol. 6, no 1, p. 417, 2008.

172

[483] M. Bouissou, A generalization of dynamic fault trees through Boolean logic driven Markov processes (BDMP) , dans Proceedings of the16th European Safety and Reliability Conference (ESREL07), Stavanger, Norv` ege, juin 2007. [484] M. Bouissou, S. Humbert, S. Muffat et N. Villatte, KB3 tool : feedback on knowledge bases , dans Proceedings of the11th European Safety and Reliability Conference (ESREL02), Lyon, France, mars 2002. [485] M. Bouissou et A. Flori, Manuel dutilisation de la base de connaissances BDMP pour KB3 . Note EDF R&D HT-52/03/039/A (publique), d ec. 2003. [486] N. Villatte, Manuel utilisateur de KB3 V3 . Note EDF R&D HT-52/05/057/A (publique), nov. 2005. [487] M. Bouissou, H. Chraibi et S. Muffat, Utilisation de la simulation de Monte-Carlo pour la r esolution dun benchmark (MINIPLANT) , dans Actes du 14e congr` es de abilit e et maintenabilit e de lIMdR (14), Bourges, France, oct. 2004. [488] M. Bouissou et A.-S. Derode, Approximation exponentielle de la abilit e : cas des syst` emes a ` r eparations di er ees , dans Actes du 14 eme congr` es de abilit e et maintenabilit e de lIMdR (14), Bourges, France, oct. 2004. [489] J. Bon et M. Bouissou, Fiabilit e des grands systemes s equentiels : r esultats th eoriques et applications dans le cadre du logiciel GSI , Revue de Statistique Appliqu ee, vol. 40, no 2, p. 4554, 1992. [490] J. Bon et J. Collet, An algorithm in order to implement reliability exponential approximations , Reliability Engineering & System Safety, vol. 43, no 3, p. 263268, 1994. [491] M. Bouissou et G. Torrente, M ethodologie de d eveloppement de bases de connaissances pour la SdF avec lenvironnement Open-source Visual Figaro , dans Actes du 16e congr` es de abilit e et maintenabilit e de lIMdR (16), Avignon, France, oct. 2008. niche, Experimenting with quantitative evaluation tools for mo[492] R. Ortalo, Y. Deswarte et M. Kaa nitoring operational security , IEEE Transactions on Software Engineering, vol. 25, no 5, p. 633649, 1999. [493] B. B. Madan, K. Go seva-Popstojanova, K. Vaidyanathan et K. S. Trivedi, A method for modeling and quantifying the security attributes of intrusion tolerant systems , Performance Evaluation, vol. 56, p. 167186, 2004. [494] M. A. McQueen, W. F. Boyer, M. A. Flynn et G. A. Beitel, Time-to-compromise model for cyber risk reduction estimation , dans Proceedings of the 1st Workshop on Quality of Protection (QoP05), Milan, Italie, p. 4964, sept. 2005. [495] W. Poundstone, Prisoners Dilemma : John von Neumann, Game Theory and the Puzzle of the Bomb. Anchor Books, 1993. [496] T. Sandler, G. Daniel et M. Arce, Terrorism and game theory , Simulation and Gaming, vol. 34, p. 317337, sept. 2003. [497] A. Holmgren, E. Jenelius et J. Westin, Evaluating strategies for defending electric power networks against antagonistic attacks , IEEE Transactions on Power Systems, vol. 22, p. 76 84, f ev. 2007. [498] S. Roy, C. Ellis, S. Shiva, D. Dasgupta, V. Shandilya et Q. Wu, A survey of game theory as applied to network security , dans Proceedings of the 43rd Hawaii International Conference on System Sciences (HICSS-43), Hawa , Etats-Unis, jan. 2010. [499] V. Bier, Statistical Methods in Counterterrorism : Game Theory, Modeling, Syndromic Surveillance, and Biometric Authentication, chap. Game-Theoretic and Reliability Methods in Counterterrorism and Security, p. 2340. Springer New York, 2006. [500] C. Griffin, B. Madan et K. Trivedi, State space approach to security quantication , dans Proceedgins of the 29th Annual International Computer Software and Applications Conference (COMPSAC05) Volume 2, Edinbourg, Ecosse, p. 8388, juil. 2005. rdenas et S. Sastry, Safe and secure networked control systems under denial-of-service [501] S. Amin, A. Ca attacks , dans Proceedings of the 12th International Conference on Hybrid Systems : Computation and Control (HSCC09), San Francisco, Etats-Unis, p. 3145, avril 2009. [502] H. Tanaka, L. Fan, F. Lai et K. Toguchi, Fault-tree analysis by fuzzy probability , IEEE Transactions on Reliability, vol. 32, no 5, p. 453457, 1983. [503] D. Singer, A fuzzy set approach to fault tree and reliability analysis , Fuzzy Sets and Systems, vol. 34, no 2, p. 145155, 1990. [504] Y. Ou et J. B. Dugan, Approximate sensitivity analysis for acyclic Markov reliability models , IEEE Transactions on Reliability, vol. 52, p. 220230, juin 2003.

173

[505] X.-R. Cao et Y.-W. Wan, Algorithms for sensitivity analysis of Markov systems through potentials and perturbation realization , IEEE Transactions on Control Systems Technology, vol. 6, p. 482494, juil. 1998. [506] B. Natvig et J. G asemyr, New results on the BarlowProschan and Natvig measures of component importance in nonrepairable and repairable systems , Methodology and Computing in Applied Probability, vol. 11, no 4, p. 603620, 2009. renguer, Importance measure on nite time horizon and application to [507] P. Van, A. Barros et C. Be Markovian multistate production systems , Proceedings of the Institution of Mechanical Engineers, Part O : Journal of Risk and Reliability, vol. 222, no 3, p. 449461, 2008. renguer, Reliability importance analysis of Markovian systems at steady [508] P. D. Van, A. Barros et C. Be state using perturbation analysis , Reliability Engineering & System Safety, vol. 93, no 11, p. 16051615, 2008. renguer, From dierential to dierence importance measures for Markov [509] P. D. Van, A. Barros et C. Be reliability models , European Journal of Operational Research, vol. 204, p. 513521, ao ut 2009. renguer et L. Dieulle, Comparaison et [510] P. D. Van, C. Be evaluation des m ethodes de calcul des facteurs dimportance abilistes pour les syst` emes dynamiques , dans Actes du 6e Congr` es international pluridisciplinaire Qualit e et S uret e de Fonctionnement (Qualita 2005), Bordeaux, France, mars 2005. [511] M. Bouissou, D etermination ecace de scenarii minimaux de d efaillance pour des syst` emes s equentiels , dans Actes du 14e congr` es de abilit e et maintenabilit e de lIMdR (14), Lille, France, oct. 2006. [512] G. Renda, S. Contini et G. Cojazzi, On the methods to model and analyze attack scenarios with fault trees , dans Proceedings of the17th European Safety and Reliability Conference (ESREL08), Valence, Espagne, p. 31353142, sept. 2008. [513] International Atomic Energy Agency (IAEA), Handbook on the physical protection of nuclear materials and facilities . IAEA-TECDOC-1276, mars 2002. [514] G. Cojazzi, G. Renda et S. Contini, Qualitative and quantitative analysis of safeguards logic trees , dans Joint proceedings of the 7th International Conference on Probabilistic Safety Assessment and Management (PSAM-7) and the13th European Safety and Reliability Conference (ESREL04), Berlin, Allemagne, juin 2004. [515] H. Ham, An integrated methodology for quantitative assessment of proliferation resistance of advanced nuclear systems using probabilistic methods. Th` ese de doctorat, Massachusetts Institute of Technology (MIT), 2005. [516] O. Nordland, Making safe software secure , dans Proceedings of the 16th Safety-Critical Systems Symposium (SSS 2008) (Improvements in System Safety), Bristol, Royaume-Uni, p. 1523, f ev. 2008. [517] D.-B. Pan et F. Liu, Inuence between functional safety and security , dans Proceedings of the 2nd IEEE Conference on Industrial Electronics and Applications (ICIEA07), Harbin, Chine, p. 13231324, mai 2007. [518] J. Smith, S. Russell et M. Looi, Security as a safety issue in rail communications , dans Proceedings of the 8th Australian Workshop on Safety Critical Systems and Software (SPS03), vol. 33, Canberra, Australie, p. 7988, oct. 2003. [519] M. Lin, L. Xu, L. Yang, X. Qin, N. Zheng, Z. Wu et M. Qiu, Static security optimization for real-time systems , IEEE Transactions on Industrial Informatics, vol. 5, p. 22 37, f ev. 2009. [520] R. Robinson, M. Li, S. Lintelman, K. Sampigethaya, R. Poovendran, D. von Oheimb, J.-U. Buer et J. Cuellar, Electronic distribution of airplane software and the impact of information security on airplane safety , dans Proceedings of the 26th International Conference on Computer Safety, Reliability and Security (SAFECOMP07), LNCS 4680, Nuremberg, Allemagne, p. 2839, sept. 2007. [521] N. Neogi, Safety and security in the next generation air transportation system , dans National Workshop on Aviation Software Systems, Alexandria, Etats-Unis, oct. 2006. [522] M. G. Jaatun, M. B. Line et T. O. Grotan, Secure remote access to autonomous safety systems : A good practice approach , International Journal of Autonomous and Adaptive Communications Systems, vol. 2, no 3, p. 297312, 2009. [523] R. G. Herrtwich, Automotive telematics - road safety vs. IT security ? (invited talk) , dans Proceedings of the 23rd International Conference on. Computer Safety, Reliability and Security (SAFECOMP04), LNCS 3219, Potsdam, Allemagne, p. 239, sept. 2004. [524] B. Chess et G. McGraw, Static analysis for security , IEEE Security & Privacy, vol. 2, no 6, p. 7679, 2004. [525] V. M. Igure, A taxonomy of security vulnerabilities in SCADA protocols. Th` ese de doctorat, Universit e de Virginie, 2007.

174

[526] S. Lautieri, De-risking safety , Computing & Control Engineering Journal, vol. 17, no 3, p. 3841, 2006. [527] T. J. Cockram et S. R. Lautieri, Combining security and safety principles in practice , dans Proceedings of the 2nd Institution of Engineering and Technology International Conference on System Safety, Londres, Royaume-Uni, p. 159164, oct. 2007. [528] A. Gerstinger et T. Novak, Diversity for safety and security improvement , dans Proceedings of the 26th International System Safety Conference (ISSC 2008), Vancouver, Canada, ao ut 2008. [529] I. E. Komari, V. Kharchenko, A. Romanovsky et E. Babeshko, Diversity and security of computing systems : Points of interconnection (part 1 and 2) , MASAUM Journal of Open Problems in Science and Engineering, vol. 1, p. 2841, 2009. [530] J.-H. Cho, I.-R. Chen et P.-G. Feng, Eect of intrusion detection on reliability of mission-oriented mobile group systems in mobile ad hoc networks , IEEE Transactions on Reliability, vol. 59, p. 231241, mars 2009. [531] T. Wu et K. Chen, Reliability and key-protection for computer-security systems , IEEE Transactions on Reliability, vol. 36, p. 113116, avril 1987. [532] R. G. Dromey, Genetic design : Amplifying our ability to deal with requirements complexity , dans International Workshop on Scenarios : Models, Transformations and Tools, International (Revised Selected Papers, LNCS 3466), Dagstuhl, Allemagne, p. 95108, sept. 2003. n, S. Eker, P. Lincoln, N. Mart [533] M. Clavel, F. Dura -Oliet, J. Meseguer et C. Talcott, The Maude 2.0 system , dans Proceedings of the 14th International Conference on Rewriting Techniques and Applications (RTA 2003), LNCS 2706, Valence, Espagne, p. 7687, juin 2003. [534] I. N. Fovino, M. Masera et A. De Cian, Integrating cyber attacks within fault trees , Reliability Engineering & System Safety, vol. 94, p. 13941402, sept. 2009. rjens et S. H. Houmb, Development of safety-critical systems and model-based risk analysis with [535] J. Ju UML , dans Proceedings of the 1st Latin America Dependability Conference (LADC-1), LNCS 2847, S ao Paulo, Br esil, p. 364365, oct. 2003. rjens, Secure Systems Development with UML. Loughborough : Springer, May 78 2005. Invited talk. [536] J. Ju [537] P.-Y. Chaux, Apport du model-checking pour lanalyse qualitative de BDMP , M emoire de master, Ecole Normale Sup erieure de Cachan, 2009. [538] J. Hansson, L. Wrage, P. Feiler, J. Morley, B. Lewis et J. Hugues, Architectural Modeling to Verify Security and Nonfunctional Behavior , IEEE Security and Privacy, vol. 8, no 1, p. 4349, 2010. [539] J. Delange, L. Pautet et P. Feiler, Validating safety and security requirements for partitioned architectures , dans Proceedings of the 14th International Conference on Reliable Software Technologies (Ada-Europe 2009), LNCS 5570, Brest, France, p. 3043, juin 2009. [540] Arrangement on the recognition of Common Criteria certicates in the eld of IT security . http: //www.commoncriteriaportal.org/files/operatingprocedures/cc-recarrange.pdf, mai 2000. curite des Syste `mes dInformation (DCSSI), Certication de [541] Direction Centrale de la Se s ecurit e de premier niveau des technologies de linformation . N 915/SGDN/DCSSI/SDR, avril 2008. Version 2.4 (phase exp erimentale). [542] D. E. Bell et L. J. La Padula, Secure computer systems : Mathematical foundations. , Rapport Technique MTR-2547, MITRE Corporation, mars 1973. [543] K. Biba, Integrity considerations for secure computer systems , Rapport Technique ESD-TR 76-372, MITRE Corporation, 1977. [544] G. Graham et P. Denning, Protection : principles and practice , dans Proceedings of the Fall Joint Computer Conference, Montvale, Etats-Unis, p. 417429, nov. 1971. [545] M. Harrison, W. Ruzzo et J. Ullman, Protection in operating systems , Communications of the ACM, vol. 19, no 8, p. 461471, 1976. [546] R. Lipton et L. Snyder, A linear time algorithm for deciding subject security , Journal of the ACM, vol. 24, no 3, p. 455464, 1977. [547] R. Sandhu, The typed access matrix model , dans Proceedings of the 1992 IEEE Symposium on Research in Security and Privacy (S&P92), Oakland, Etats-Unis, p. 122136, mai 1992. [548] D. D. Clark et D. R. Wilson, A comparison of commercial and military computer security policies , dans Proceedings of the 1987 IEEE Symposium on Research in Security and Privacy (S&P87), Oakland, Etats-Unis, p. 183194, mai 1987.

175

[549] D. Brewer et J. Michael, The Chinese Wall security policy , dans Proceedings of the 1989 IEEE Symposium on Research in Security and Privacy (S&P89), Oakland, Etats-Unis, p. 206214, mai 1989. [550] R. Sandhu, E. Coyne, H. Feinstein et C. Youman, Role-based access control models , Computer, vol. 29, no 2, p. 3847, 1996. [551] J. McLean, Encyclopedia of Software Engineering, chap. Security Models. Wiley, 1994. [552] P. Ryan, J. McLean, J. Millen, V. Gligor et C. Mellon, Non-interference, who needs it ? , dans Proceedings of the 14th IEEE Computer Security Foundations Workshop (CSFW-13), Cap Breton, Canada, p. 237238, 2001. [553] R. Focardi et R. Gorrieri, Foundations of Security Analysis and Design, chap. Classication of security properties, p. 331396. Springer, 2001. [554] P. Y. Ryan, Mathematical models of computer security , dans Revised versions of lectures given during the IFIP WG 1.7 International School on Foundations of Security Analysis and Design : Tutorial Lectures, LNCS 2171, Bertinoro, Italie, p. 162, sept. 2001. [555] D. Pointcheval, Provable Security for Public Key Schemes, chap. Advanced Course on Contemporary Cryptology, p. 133189. Birkh auser Publishers, 2005. [556] N. Koblitz et A. Menezes, Another look at provable security , Journal of Cryptology, vol. 20, no 1, p. 337, 2007.

176

Index
Accident, -tel, 2, 9, 11, 1318, 23, 24, 26, 27, 29, 30, 32, 34, 40, 59, 120122, 124126, 128, 130132, 134, 136 A eronautique, 7, 8, 17, 22, 25, 26, 3133, 3840, 42, 61, 62, 121, 123 A erospatiale, voir Spatial Algorithme SN, 111, 136 SRI, 112 AltaRica, 38 Ambigu, ambigu t e, 4, 7, 13, 15, 16, 19, 21, 29, 30, 32, 34, 109, 133, 138 Analyse de risques, 3, 4, 22, 26, 4345, 47, 48, 58, 63, 65, 69, 86, 110, 115, 120, 122, 133, 138, 139 des conditions insidieuses, 31, 39, 59 markovienne, voir Graphe de Markov transitoire, 31, 39, 59 Analyse pr eliminaire de danger, 30, 39 Antagonisme, -iste, 3, 120, 122, 139 Arbre dattaque, 3, 4, 4654, 56, 58, 60, 64, 65, 6971, 7378, 82, 86, 87, 108111, 116118, 124, 126, 132, 137 d ev enements, 34, 40, 64, 138 de d efaillances, 3, 31, 3336, 38, 4042, 4648, 50, 58, 62, 65, 70, 76, 77, 86, 87, 109, 116, 124, 126, 132 de d efaillances etendu, 124, 132 de d efaillances dynamique (DFT), 36, 41, 48, 54, 58, 65, 73, 75, 109111, 132 de d efense, 48, 52, 58, 134 de menaces, 46, 48, 58, 64, 65 Attack nets, 48 Aviation, voir A eronautique Avionique, voir A eronautique Convergence (s uret e et s ecurit e), 24, 120, 137, 138 Coupe minimale, 33, 40, 47, 54, 86, 87 Coupe-feu, 113, 141 Crit` eres Communs, 42, 62, 123, 141, 142 Cryptographie, -ique, 3, 24, 26, 43, 50, 90, 123, 145, 146 Culture s ecurit e, 25, 29 s uret e, 25 D efaillance, 2, 23, 3136, 39, 76, 115, 126, 128 accidentelle, voir Accident, -tel de cause commune, 77, 109 multiples, 31, 33, 39, 58 D efense en profondeur, 2, 3, 23, 58, 63, 65 Dependability, voir S uret e de fonctionnement D ependance, 1, 28, 35, 39, 41, 48, 51, 54, 59, 70, 71, 73, 121, 124, 133, 134, 137 DFT, voir Arbre Diagramme cause-cons equence (CCA), 34, 40, 62, 64, 138 dabuse case, 53, 54 dinuence etendu, 51, 70, 71, 75 de cas dusage (use case ), 59, 71 de abilit e, 32, 40, 50 de misuse case, 53, 54, 62, 65, 70, 71, 75, 108, 110, 111, 117, 136, 139 de security use case, 53, 54 Disponibilit e, 1, 2, 6, 16, 18, 27, 30, 32, 36, 40, 41, 46, 57, 76, 77, 122, 138 Distribution (probabilit es), voir Loi (de probabilit e) Diversit e, -ication (technique), 23, 57, 58, 63, 65, 121, 123 DO-178B, 8, 26, 32, 40, 62, 123

Electronucl eaire, 2, 4, 16, 17, 19 Emergence (propri et e emergente), 3, 30 Environnement, 2, 6, 11, 1318, 26, 30, 32, 125 Base de connaissances, 112, 116 EPS, 34 BLP, voir Mod` ele Bell-Lapadula Erreur, 2 enement CCA, voir Diagramme Ev Certication, 24, 32, 40, 42, 55, 60, 123, 142 initiateur, 34 Chimie, -ique, 1, 2, 8, 17, 22, 31, 34, 39, 40, 125 pertinent, 77, 7981, 86, 109, 110, 115, 125 Commission europ eenne, 1, 7, 34 redout e, 14, 33, 54, 58, 7678, 80, 84, 85, 111, Communaut es (s uret e, s ecurit e), 3, 4, 13, 14, 18, 115, 117, 125, 126, 131133 21, 22, 28, 29, 57, 6264, 113, 137139 Exploration de chemins, 86, 87, 111, 113, 116 Condentialit e, 2, 6, 18, 27, 29, 42, 46, 57, 138, 143 177

Explosion combinatoire, 37, 41, 51, 54, 79, 84, 110, KB3, 111, 112, 115, 116, 136 111 Keylogger, 92, 94, 95, 105, 106, 148 Facteur dimportance, 117 humain, 25, 60, 63 Faute, 2, 57, 6062, 65, 121 Ferroviaire, 1, 7, 8, 31, 32, 34, 39, 40, 121 Feuille Attacker Action (AA), 81, 86, 88, 90, 92, 95, 100102, 105, 106, 112, 113 de d efaillance ` a la sollicitation, 125, 128 de d efaillance en op eration, 125, 134 de phase, 84, 90, 115 Instantaneous Security Event (ISE), 82, 86, 90, 92, 95, 100, 101, 103, 105, 106, 112 Timed Security Event (TSE), 82, 86, 90, 92, 94, 100, 101, 104106, 112 Fiabilit e, 3, 7, 27, 30, 3236, 40, 41, 61, 67, 77, 115, 123, 137 Figaro, 38, 41, 111, 112, 125 FIGMAT-SF, 111 Figseq, 111, 112, 117 enement Filtrage des ev enements pertinents, voir Ev pertinent Fingerprinting, 82 Fonction de structure, 74, 79, 88, 109, 115, 125 de transfert de probabilit es, 78, 81, 82, 101 Force brute, 68, 88, 90, 92, 94, 95, 106, 107, 147 Fr equenciste, 28 Fr equenciste, -tiste, 28 LAAS, 6, 57, 61 Loi (de probabilit e), 28, 78, 101, 113, 114 b eta, 114 de Weibull, 114 exponentielle, 37, 41, 50, 73, 81, 82, 8486, 113, 114, 128, 139 gamma, 114 hyper-exponentielle, 114 hypo-exponentielle, 114 Loi TSN, 16

Maintenabilit e, 3, 36, 61 Maintenance, 3, 24, 35, 55, 60, 121, 126, 128 Malveillance, -ant, 1, 2, 5, 11, 1318, 2629, 57, 64, 114, 120, 121, 124, 126, 128, 130133, 136 Militaire, 7, 8, 14, 31, 39, 55, 56, 60, 114, 123, 142 Misuse case, voir Diagramme Mod elisation, voir Mod` ele Mod` ele Bell-Lapadula, 43, 55, 143 Biba, 43, 55, 65, 144, 145 Clark-Wilson, 144 de croissance de abilit e, 61, 65 de Markov, voir Graphe de Markov dynamique, 28, 33, 35, 36, 53, 54, 64, 76, 100, 108, 109, 111, 116119, 136 formel de contr ole dacc` es, 43, 55, 61, 65, 143 formel de politique s ecurit e, 43, 63, 146 graphique dattaque, 45, 48, 53, 56, 67, 68, 70 75, 88, 110, 111 G achette, 7680, 82, 84, 88, 109, 110, 115, 116, 128 hybride, 126, 128, 130, 131, 133, 136 GEMS, 60, 64, 65 int egr e, 126, 128, 130, 131, 133, 136 Graphe pur, 126, 128, 130, 131, 134 dattaque, 50, 51, 54, 68 statique, 28, 3236, 40, 48, 53, 54, 56, 69, 71, de Markov, 3538, 41, 50, 54, 76, 80, 85, 105, 75, 108, 109, 111, 117, 126, 132 111113 stochastique, 32, 37, 50, 73, 79, 86, 111, 113 de privil` eges, 48, 50, 113 116, 128, 139 orient e sans circuit, 34, 76, 78 Totel, 61, 65, 121 GSN, 60, 65, 123, 139 Model-checking, 43, 51, 54, 68, 124, 136, 139 GSPN, voir R eseaux de Petri Modem, 68, 88, 90, 134 Mot de passe, 52, 68, 88, 90, 92, 95, 113 HAZOP, 31, 39, 42, 59, 62, 63, 65, 139 MTTD, 116, 130 MTTF, 36, 86, 113, 130 IEC 61508, 8, 32, 40, 60, 62, 121, 123 MTTR, 86 Ind ependant, -ance, 28, 31, 39, 40, 85, 86 MTTS, 86, 90, 92, 94, 95, 105, 116, 130, 147, 148 Indicateur de pertinence, 79, 80, 125 Informatique g en erique, 1, 7 Non-interference, 43, 61, 65, 145 Informatique industrielle, 1, 3, 7, 42, 44, 68, 142 Infrastructures critiques, 1, 1517, 25, 29, 55, 114 PCRD, 57, 62 Int egrit e, 1, 2, 6, 18, 46, 57, 61, 65, 138, 144 Petri, voir R eseaux de Petri Interd ependances (s uret e et s ecurit e), 3, 4, 119, 120, P etrole, -ier, 1, 2, 7, 8, 17, 22, 121 122, 123, 132134, 136, 138, 139 Phase, 82, 90, 92, 94, 108 Internet, 1, 17, 22, 42, 57 Porte (logique)

178

ET/OU (AND/OR), 33, 46, 48, 54, 78, 109, 110, 116 k sur n (k/n ), 33, 48, 78, 112, 115, 116 OWA, 116 PAND, 112, 126 Processus de Markov, 36, 7680, 84, 101, 109, 113, 116, 117, 136 de Markov pilot e, 7678, 81, 100104 semi-markovien, 36, 114 stochastique, voir Mod` ele stochastique Protection des infrastructures critiques, voir Infrastructures critiques RBD, voir Diagramme R eaction, 4, 27, 28, 67, 69, 100, 101, 105, 106, 108, 110, 116, 118, 128, 130, 131, 136, 138 Redondance, -dant, -d e (technique), 23, 33, 35, 36, 57, 58, 76, 109, 115, 121, 123 Renforcement, 3, 120, 121, 124, 139 R eparation, 35, 36, 61, 76, 81, 128, 130, 134, 136 R eseaux bay esiens, 34, 35, 40, 5052, 54, 70, 71, 75, 108, 111, 117, 136, 139 bay esiens dynamiques, 51, 108 de donn ees, voir T el ecommunications de Petri, 37, 38, 41, 46, 4850, 54, 56, 74, 75, 109113, 115 electriques, 4, 6, 1517, 19, 114 Risque, 13, 14, 17, 2230, 34, 46, 55, 60, 64, 87, 106, 114, 117, 118, 120122, 126, 133, 134 acceptation de risque, 22, 30, 50, 133 accidentel, voir Accident, -tel analyse de risques, voir Analyse evitement de risque, 22 gestion de risques, 22, 25, 26, 43, 44, 55 industries ` a risques, 2, 5, 22, 30, 32, 33, 42, 59 malveillant, voir Malveillance, -ant r eduction de risque, 22, 133, 134 terroriste, 1, 15, 64, 118 transfert de risque, 22 S electeur de mode, 7880, 88, 101, 125 S eparation (technique), 23, 57, 121 S equence minimale, 94, 95 Safety case, 59, 60, 65, 123 SAN, voir R eseaux de Petri Secteurs dactivit e dimportance vitale, voir Infrastructures critiques Security assurance cases, 59, 60 Sensibilit e ( etude de), 40, 94, 106, 112, 117, 134, 139, 147 SIL, 32, 60, 62, 65 Simulation de Monte-Carlo, 28, 111, 115, 116, 136 Social engineering, 25, 53, 68, 88, 90, 92, 95, 106, 107

Spatial, 8, 27, 31, 33, 36, 3941, 57 Subjectiviste, 28, 34, 86, 114 S uret e de fonctionnement, 2, 3, 7, 29, 30, 32, 33, 36, 38, 46, 57, 61, 62, 65, 68, 69, 73, 74, 76, 81, 84, 86, 87, 109, 111, 113115, 117, 118, 124, 136, 138, 139 Syst` eme coh erent, 115 instrument e de s uret e (SiS), 125, 126, 128, 130 132, 134 non-r eparable, 109, 111 r eparable, 36, 41, 109, 112, 136 Table de probabilit es conditionnelles, 40, 54, 70, 71, 108 Taux de d efaillance, 35, 36, 39, 76, 130 de d etection, 113, 130 de r ealisation, 86, 101 de r eparation, 35, 36, 76, 134 de succ` es, 86, 101, 105, 113, 114 T el ecommunications, 4, 17, 19 Th eorie des jeux, 58, 114, 117, 139 Tol erance aux intrusions, 50, 57, 58, 65, 113, 121 de/aux fautes, 7, 57, 58, 62, 65, 121 UML, 7, 53, 54, 59, 136, 139 Visual Figaro, 112 Vuln erabilit e, 15, 22, 24, 2729, 44, 45, 47, 50, 51, 55, 56, 5961, 68, 69, 71, 82, 87, 88, 90, 95, 113, 114, 121, 122, 138 Wardialing, 68, 71, 88, 90 YAMS, 111

179