Thèse soutenue

Cyber sécurité des systèmes industriels pour les smart-grids : détection d'intrusion dans les réseaux de communication IEC 61850
FR  |  
EN
Accès à la thèse
Auteur / Autrice : Maëlle Kabir-Querrec
Direction : Jean-Marc ThirietStéphane Mocanu
Type : Thèse de doctorat
Discipline(s) : Automatique - productique
Date : Soutenance le 28/06/2017
Etablissement(s) : Université Grenoble Alpes (ComUE)
Ecole(s) doctorale(s) : École doctorale électronique, électrotechnique, automatique, traitement du signal (Grenoble ; 199.-....)
Partenaire(s) de recherche : Laboratoire : Grenoble Images parole signal automatique
Jury : Président / Présidente : Marie-Laure Potet
Examinateurs / Examinatrices : Eric Gnaedinger
Rapporteurs / Rapporteuses : Mireille Bayart-Merchez, Jérémie Guiochet

Résumé

FR  |  
EN

Les systèmes de contrôle et d'automatisation industriels (IACS - Industrial Control and Automation Systems) reposent largement et de plus en plus sur les Technologies de l'Information et de la Communication. A l'origine, les IACS utilisaient des protocoles propriétaires sur des réseaux fermés, assurant ainsi une sécurité par obscurité et isolement. Mais les technologies et les usages ont évolué et cette sécurité intrinsèque n'existe plus désormais. Cette évolution concerne entre autre le domaine électrique : le réseau électrique devenant le "smart grid".Le standard IEC 61850 est un pilier pour le développement du smart grid. Il a pour objectif de rendre possible l'interopérabilité dans les "Systèmes et réseaux de communication pour l'automatisation des services de distribution d'énergie". Pour cela, la norme définit un modèle de données commun ainsi qu'une pile de protocoles répondant à divers besoins de communication.Le standard IEC 61850 n'aborde pas la question de la cyber sécurité malgré une prise de conscience générale qu'un risque cyber pèse sur les IACS.Ces travaux de recherche proposent de répondre à cette question de la cyber sécurité par de la détection d'intrusion dans les réseaux IEC 61850, et plus précisément dans les communications temps-réel GOOSE. L'idée est d'exploiter au maximum les sources d'informations que sont les spécifications du protocole et la configuration du système pour développer un système de détection d'intrusion réseau (NIDS - Network Intrusion Detection System) sur mesure. Cette approche comportementale déterministe est un gage de précision de détection.Ce manuscrit compte quatre chapitres. Les deux premiers consistent en un état de l'art détaillé sur les NIDS pour les IACS d'une part, et l'analyse du risque cyber d'autre part. Les deux autres chapitres présentent les contributions proprement dites de ces travaux de thèse. Le chapitre 3 explore tout d'abord le risque cyber pesant sur un poste électrique et pouvant compromettre la sûreté de fonctionnement du système. Dans un deuxième temps, est proposée une extension du modèle de données IEC 61850 dédiées à la détection d'intrusion dans les communication GOOSE. Le chapitre 4 commence avec la démonstration expérimentale de la faisabilité d'une attaque de type injection de données sur le protocole GOOSE, puis explique comment utiliser les fichiers de configuration du système pour spécifier les règles de détection. Un analyseur syntaxique pour le protocole GOOSE a été intégré à l'analyseur de trafic open source Bro, permettant l'implémentation d'un algorithme de détection.