Chaire Cyber CNI

Chaire Cyber CNI – Cybersecurity for Critical Networked Infrastructures

Frédéric Cuppens et Nora Cuppens

De la sûreté de fonctionnement à la cyber résilience

Frédéric Cuppens et Nora Cuppens

IMT Atlantique

Le risque zéro n’existe pas. Un état de fait bien compris dans le contexte de la sureté de fonctionnement. La sureté de fonctionnement désigne le contrôle des défaillances accidentelles afin d’atteindre un niveau de risque acceptable. Dans ce contexte, de nombreux mécanismes sont utilisés pour protéger le système, notamment la redondance, le confinement, la conception robuste, la maintenabilité, la récupération.
La situation est sensiblement différente dans le cas de la cybersécurité. Celle-ci traite des défaillances malveillantes causées par des cyber-attaques. Elle se fonde sur une analyse des risques dont l’objectif est d’identifier les menaces et les vulnérabilités. La combinaison d’une menace et d’une vulnérabilité entraîne un risque. L’objectif est alors de concevoir une architecture de sécurité qui réduit le niveau de ce risque identifié et le ramène à un niveau acceptable. Cependant, cette approche repose sur une mauvaise hypothèse. Il n’est pas possible d’identifier toutes les vulnérabilités auxquelles un système est exposé, et il n’est donc pas possible d’identifier tous les risques en cas de défaillance malveillante.

Vers des systèmes cyber résilients

Nous pouvons affirmer que les technologies de cybersécurité actuelle sont, au mieux, capables de résister aux dommages causés par des cyber-attaques connues. Mais, elles ne sont pas efficaces dans le cas d’attaques inconnues, celles dites zero-day. Partant du constat que certaines cyber-attaques vont réussir à atteindre leurs objectifs de sécurité, les systèmes devraient être conçus de manière à y résister. C’est le but de la cyber-résilience. Nous affirmons qu’il est urgent de concevoir des systèmes cyber-résilients. S’inspirant en partie de ce qui se fait en sureté de fonctionnement, nous étudions  dans ce qui suit certaines pistes de recherche pour concevoir des systèmes cyber-résilients.

De la redondance à la diversification

La redondance est une solution largement utilisée pour renforcer efficacement la sureté de fonctionnement. Cependant, lorsqu’elle est déployée de façon classique, elle n’est plus suffisante dans le cas de la cyber-résilience car les mêmes cyber-attaques qui réussissent sur un composant donné réussissent également sur l’autre composant redondé. Le principe de la diversification repose sur l’idée simple que « les mêmes produits / processus ont les mêmes anomalies et les produits / processus  différents ont des anomalies différentes ». « Différent » signifie que les produits réalisent la même fonctionnalité et que les processus ont les mêmes objectifs mais sont développés et mis en œuvre de manières différentes.   Des travaux  existent qui étudient comment la diversification peut être utilisée pour améliorer la cyber-résilience [Tot2005, Sai2009].

Bien évidemment, tout comme la redondance classique, la diversification a un coût. Cette augmentation des coûts due à la redondance est acceptée et même obligatoire pour les systèmes critiques comme les avions ou les centrales nucléaires. Dans de tels systèmes, la redondance est une solution très pertinente pour réduire les risques de défaillances accidentelles catastrophiques. Nous prétendons que l’argument concernant l’augmentation des coûts doit être similaire pour la diversification. Pourquoi ? Précisément parce que les cyber-attaques peuvent maintenant avoir pour cible de nombreuses infrastructures critiques avec des conséquences graves comme illustré par plusieurs exemples récents d’attaques.

Défense en profondeur vs. Cyber résilience

La défense en profondeur est utilisée pour améliorer la sécurité d’un système en combinant plusieurs couches de protection et de défense [Str2003] de sorte que si une couche de sécurité échoue, il en existe plusieurs autres qui prennent le relai et continuent à protéger et défendre les actifs. Les mesures de défense en profondeur n’empêchent pas réellement les failles de sécurité, mais offrent plus de temps pour détecter et répondre aux attaques. Cependant, il existe une différence majeure entre la défense en profondeur et la cyber-résilience : si l’attaquant parvient à contourner les différentes couches de protection et de défense mises en place pour réaliser la défense en profondeur, alors l’attaque réussira et son impact pourrait empêcher le système de fournir ses services. Ainsi, la défense en profondeur n’implique pas la cyber-résilience.

Cyber résilience dynamique

A l’heure actuelle, l’intrus peut généralement trouver des chemins directs pour cibler un système. L’objectif de la cyber-résilience dynamique sera de transformer ces chemins rectilignes en labyrinthe afin qu’il soit beaucoup plus difficile pour l’intrus d’atteindre ses objectifs malveillants.  Une défense à base de cibles d’attaque mouvantes (Moving Target Defense – MTD) [Jaj2011] est la principale voie de recherche pour mettre en œuvre une cyber-résilience dynamique. Dans le cadre des réseaux virtualisés, des travaux de recherche ont déjà proposé plusieurs stratégies MTD [Wan2017] :

  • Changement de la topologie du réseau : il est alors possible de se défendre contre la reconnaissance du réseau et la propagation de logiciels malveillants à grande échelle.
  • Modification des attributs du réseau : cela permet de protéger les systèmes contre les attaques telles que les attaques ciblées, l’analyse de réseau et la propagation de programmes malveillants à grande échelle.
  • Manipulation du trafic réseau : ceci permet d’obtenir des défenses efficaces telles que la réflexion réseau ou le pot de miel.
  • Diversification du réseau : il s’agit de masquer le réseau cible avec des nœuds virtuels. Cela peut être utilisé pour se défendre contre les analyses du réseau et les menaces persistantes avancées.
  • Migration d’éléments du réseau : il s’agit de faire migrer un nœud du réseau ou une structure entière du réseau vers une nouvelle machine physique ou un nouvel environnement de réseau. Cela peut être utilisé pour se défendre contre les botnets (les réseaux de zombis), réduire le risque de sécurité causé par un nœud infecté et la propagation de logiciels malveillants.

Des stratégies telles que la modification de la configuration réseau ou la migration des nœuds peuvent être facilement appliquées sur une plate-forme de virtualisation classique. Pour déployer les autres stratégies, il faut développer de nouvelles fonctions dans les infrastructures de virtualisation sous-jacentes [Woe2015, Wan2013]. Il est également nécessaire d’étudier comment déployer MTD dans d’autres domaines tels que l’Internet des objets.

Conclusion

Face aux cyber-attaques qui peuvent avoir des impacts catastrophiques sur les systèmes, il est urgent de développer des solutions pour améliorer la résilience des systèmes, afin qu’ils puissent résister aux cyber-attaques réussies. Dans cet article, nous suggérons quelques pistes de recherche qui devraient être initiées dans cette direction (une version étendue de ce document est disponible en PDF ). Bien sûr, rendre les systèmes résilients aux cyber-attaques aura un coût. Cette augmentation de coût est acceptée dans le cas de défaillances accidentelles pouvant impacter des systèmes critiques comme des avions, des trains, des centrales électriques ou des centrales nucléaires. Pourquoi le raisonnement ne serait-il pas le même dans le cas des cyber-attaques ? Attendons-nous qu’une cyber-attaque aux conséquences catastrophiques se produise ?

Remerciements

Les travaux sur la cyber  résilience sont supportés par la chaire IMT Cyber CNI portée par IMT Atlantique et ses partenaires Airbus Defence & Space, Amossys, EDF, Orange, La Poste, Nokia, Société Générale, la Région Bretagne et le Fond européen de développement régional (FEDER).

Références

  • [Jaj2011] Jajodia, S., Ghosh, A.K., Swarup, V., Wang, C., Wang, X.S.: Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. Springer Publishing Company (2011)
  • [Sai2009] Saïdane, A., Nicomette, V., Deswarte, Y.: The Design of a Generic Intrusion-Tolerant Architecture for Web Servers. IEEE Trans. Dependable Sec. Comput. 6(1): 45-58 (2009)
  • [Str2003] Straub, K. R.: Information Security Managing Risk with Defense in Depth. SANS Institute InfoSec Reading Room (2003)
  • [Tot2005] Totel E., Majorczyk F., Mé L.: COTS Diversity Based Intrusion Detection and Application to Web Servers. RAID 2005: 43-62 (2005)
  • [Wan2013] Wang, L., Wang, Z., Sun, K., Jajodia, S.: Reducing attack surface with VM-based phantom server. In: MILCOM 2013: IEEE Military Communications Conference. pp. 1429-1435 (2013)
  • [Wan2017] Wang, L., Wu, D.: MTD-VirNet: A Moving Target Defense Architecture over Virtualized Networks. Unpublished paper.
  • [Woe2015] Woesner, H., Verbeiren, D.: SDN and NFV in telecommunication network migration. In: Fourth European Workshop on Software Defined Networks, EWSDN, Bilbao, Spain. pp. 125-126 (2015)
Marc-Oliver Pahl

Related Posts