Modélisation des intrusions

APEX solutions s’intéresse à la modélisation globale des intrusions dans des infrastructures ou des espaces publics disposant de systèmes de protection et de détection. Les premières approches de modélisation d’intrusion, appliquées aux infrastructures critiques, ont été publiées dans les années 1980, la majeure partie des publications étant faites par les Sandia National Laboratories aux USA (méthodes SAFE/SNAP, EASI, ASD, SAVI, ASSESS…).

Le but général des modèles est de simuler les actions de deux forces en présence : la force rouge (assaillants) qui cherche à pénétrer dans une zone avec un objectif particulier (sabotage, vol de données…) et la force bleue (défenseurs) dont le but est d’empêcher la réalisation des objectifs adverses. Ces outils permettent alors de déterminer des chemins critiques et d’optimiser le dispositif défensif pour le rendre plus robuste face aux attaques.

Le cas le plus simple est celui des infrastructures critiques, car il existe pour celles-ci une doctrine de protection dans la profondeur conçue pour retarder la pénétration des assaillants. Cette doctrine se traduit par une protection du site en « oignon », chaque couche intérieure étant plus protégée que la couche précédente. On distingue en général l’espace public extérieur, une zone à accès restreint, une zone protégée, un ou plusieurs bâtiments sous contrôle et des zones dites « vitales ». La doctrine se décline également dans des principes généraux de protection connus comme les « 4D », de part les initiales en anglais des verbes qui les caractérisent : DETER (dissuader), DETECT (détecter), DELAY (retarder) et DENY/DEFEAT (empêcher/vaincre).

Sur un principe similaire, APEX solutions a défini une approche originale des principes d’attaques, les « 4P » : PLAN (planifier), PENETRATE/PROGRESS (pénétrer/progresser), PERPETRATE (accomplir) et éventuellement PUSH OFF (filer).

Le principe d’évaluation des capacités de protection repose classiquement sur deux éléments : pour chaque enjeu du site, il faut établir les séquences d’attaque possibles (ASD ou Adversary Sequence Diagrams) qui définissent les chemins de progression des assaillants. Pour chacune de ces séquences, il faut ensuite évaluer la probabilité d’interruption, voire de neutralisation (EASI : Estimate of Adversary Sequence Interruption). L’idée sous-jacente est d’établir les probabilités de détection lors du chemin d’attaque et calculer ensuite le délai mis par les défenseurs pour intercepter les assaillants. Si ce délai est inférieur au délai de réalisation de l’objectif de l’équipe rouge, l’attaque est un échec.

Les éléments à intégrer dans une simulation sont, pour la force bleue (défenseurs) :

• La description du site et des bâtiments,
• Les systèmes de protection (physiques ou cyber), et leurs vulnérabilités aux différents équipements utilisés par des assaillants,
• Les systèmes de détection ponctuels, linéaires ou volumiques,
• Les gardes fixes ou mobiles (et leur comportement),
• Les autres personnels qui peuvent être présents sur site (employés) ou hors site (renforts de sécurité).

Pour la force rouge, il est nécessaire de décrire :

• Les attaquants sur site et hors site (par exemple chargés d’une attaque cyber ou d’une reconnaissance par drone), et éventuellement les complices à l’intérieur du site en cas de malveillance interne,
• Leurs connaissances sur les éléments défensifs (site et bâtiments, protection, détection, gardes et autres personnels),
• Leur équipement physique et cyber qui vont servir à détruire ou contourner les éléments de protection, et éventuellement les systèmes de détection.

APEX solutions cherche à développer des méthodes innovantes pour répondre au besoin global de modélisation des intrusions. Nos axes de recherche actuels concernent :

• La représentation des sites et des bâtiments et leur intégration directe dans l’outil de simulation à partir de descriptions standardisées de type BIM (Building Information Modeling) et en particulier le format IFC, standard pour le partage des données dans le secteur de la construction et de la gestion des installations.
• La modélisation fine des comportements de l’équipe rouge et de l’équipe bleue, avec par exemple pour les assaillants la possibilité de se séparer pour accomplir simultanément plusieurs actions distantes (un thème jamais traité à notre connaissance dans la littérature ouverte).
• Les algorithmes de modélisation des systèmes de détection incluant des aspects probabilistes, par exemple la probabilité pour un opérateur «bleu » de détecter sur un écran reprenant les images de plusieurs caméras le passage d’un attaquant « rouge » dans le champ d’une d’entre elles, en fonction de ses caractéristiques optique, de la luminosité, de la distance et de la vitesse de l’attaquant, etc.

Nous réfléchissons aussi de manière plus générale à la protection optimale des espaces publics, qui contrairement aux infrastructures critiques ne sont – par définition – pas conçus pour être protégés contre les intrusions.