Actualité web & High tech sur Usine Digitale

FIC 2016 : Quand SystemX hacke un smart grid... c'est pour mieux le sécuriser

|
Twitter Facebook Linkedin Google + Email
×

Vidéo Si l'IRT SystemX est présent au Forum international de la cybersécurité 2016, c'est pour y montrer la fragilité des infrastructures critiques, aussi vulnérables que l'ensemble de l'internet des objets de manière générale. Et il le démontre via un cas d'usage : la recharge des véhicules électriques par un smart grid, un système complexe que SystemX estime très peu sécurisé.  Pour y remédier, l'institut développe une approche analytique de haut niveau, qui pallie les défaillances des objets eux-mêmes.

FIC 2016 : Quand SystemX hacke un smart grid... c'est pour mieux le sécuriser
FIC 2016 : Quand SystemX hacke un smart grid... c'est pour mieux le sécuriser © Justine Larlet

L'institut de recherche technologique SystemX est présent ce 25 janvier au Forum International de la Cybersécurité 2016 pour présenter au public l'avancée de ses travaux. Au centre de ses efforts se trouve la plate-forme Chess (Cybersecurity Hardening Environment for Systems of Systems), qui permet d'évaluer la cybersécurité des architectures de systèmes par la simulation et l'analyse.

 

"Nous ne nous intéressons pas aux objets eux-mêmes, mais aux systèmes et aux systèmes de systèmes," explique Philippe Wolf, chef du projet EIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité) dont dépend Chess. L'enjeu : détecter les faiblesses (et les risques industriels associés) des infrastructures du futur pour les renforcer avant leur mise en production.

 

Protéger les systèmes de systèmes

La démonstration présentée au FIC 2016 concerne les smart grids, un cas d'usage (choisit parmi 85 cas au total) développé en partenariat avec Engie. Elle met en scène un futur réseau de recharge de véhicules électriques par des énergies renouvelables. Les véhicules sont rechargés intelligemment par le réseau pour optimiser le coût en énergie, car le prix de l'électricité ne sera plus fixe mais fluctuera en permanence. La simulation implique tous les acteurs de la chaîne : le constructeur automobile, l'opérateur énergétique, l'équipementier et le consommateur d'énergie.

 

La démonstration se veut pédagogique. Au travers d'une maquette, SystemX montre comment ses équipes ont pu s'infiltrer dans l'infrastructure en prenant le contrôle d'un concentrateur de données (un équipement réellement utilisé sur le terrain, comme tous ceux de la démonstration), qui recueille les informations des compteurs intelligents avant de les transmettre à l'opérateur. "Ce concentrateur était mal protégé, et nous en avons pris le contrôle en moins d'une heure, commente Philippe Wolf. Nous avons ensuite falsifié les données envoyées au système central, qui a en conséquence mal réagit." Par exemple, détectant un pic de consommation, il active d'autres unités de production et surcharge le réseau.

 

 

Éviter les pannes à grande échelle

Sur le salon, les visiteurs sont invités à entrer eux-mêmes de fausses données pour en voir les conséquences. "Le but de la plate-forme est de simuler une attaque sur un système de très grande envergure, détaille Philippe Wolf. Nous recherchons des failles profitant de l'effet papillon (une attaque locale produit un impact global) ou de l'effet domino (une action produit des pannes en cascade, impossibles à arrêter)." Une fois ces failles identifiées, le système peut être durci. Sur le salon SystemX montre comment, une fois son système de défense activé, la même attaque est désormais détectée et neutralisée.

 

La sécurité mise en place s'appuie sur le recueil et l'analyse fine de données provenant du réseau, le tout supervisé à haut niveau par des opérateurs humains. "Nous essayons de définir quelles sont les bonnes données à recueillir pour comprendre ce qu’il se passe et s'il y a des tentatives d’agressions, et nous travaillons aussi sur le SOC (Security Operating Center) du futur," poursuit Philippe Wolf.

 

Pallier au manque de sécurité des objets connectés

Cette approche de la sécurité à grande échelle est aussi pour SystemX un moyen de lutter contre d'hypothétiques faiblesses au niveau des objets connectés. "Nous sommes un pays de systémiers, affirme Philippe Wolf. C'est là-dessus qu'il nous faut jouer, et plus sur les objets eux-mêmes, qui souvent ne sont pas fabriqués en France." Les mots d'ordre sont pragmatisme et réalisme. "En sécurité; on se méfie toujours  de ce qui n’est pas fait chez soi. Celui qui fabrique a un avantage sur celui qui ne fabrique pas."

 

Grâce à sa méthode, SystemX assure que "même si la moitié des compteurs ne sont plus fiables, nous pourrons le détecter grâce à des analyses comportementales et éviter le pire." Pour autant, Philippe Wolf reste humble. "Nous ne prétendons pas être les meilleurs. La French Tech fait du beau travail, et nous observons aussi ce qui se fait à l'international, notamment au niveau européen. Des pays comme la Finlande, notamment à Helsinki, ou même Chypre font mieux que nous, donc nous essayons d'apprendre eux."

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

Publicité

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale