La cybersécurité des installations industrielles est axée sur le fait que d'éventuelles attaques peuvent interrompre le processus technologique. Cela peut avoir des conséquences potentiellement catastrophiques, qui ne sont pas toujours financières. Une protection efficace de ces installations nécessite, donc, une surveillance constante, tant des systèmes d'information que des processus d'exploitation.
Un système de contrôle industriel automatisé (SCI) actuel est un système cyberphysique complexe. Il comprend des éléments informatiques qui contrôlent des dispositifs et des unités intégrées ainsi que des équipements physiques, ce qui étend la portée des attaques et fournit aux pirates d'innombrables moyens de perturber le système. Ils peuvent viser à la fois l'infrastructure de l'information et les contrôleurs de l'environnement numérique ou interférer physiquement avec le processus de production. Les attaques sur un système cyberphysique sont, généralement, beaucoup plus compliquées que les cyberattaques classiques.
Les attaques qui sont menées via les systèmes d'information sont plus ou moins faciles à gérer. Il suffit de surveiller attentivement les flux d'informations entre le contrôleur logique programmable. Mais que se passe-t-il si les attaquants utilisent des signaux pour perturber la communication entre les capteurs industriels et les contrôleurs ? Que se passe-t-il si les données du capteur sont remplacées ou si le capteur lui-même est détruit ? La technologie d'apprentissage automatique permet de détecter de telles attaques.
C'est ainsi que les processus opérationnels peuvent être protégés
Cette technologie s'appelle l'apprentissage machine pour la détection des anomalies. Tout ce qui est nécessaire au bon fonctionnement de cette technologie est en principe déjà disponible dans la plupart des installations industrielles. Après tout, l'ensemble du processus de production est déjà équipé de capteurs. Il reçoit de grandes quantités de données télémétriques ; des dizaines de milliers d'étiquettes provenant de diverses sources sont, généralement, mises à jour 10 fois par seconde. En outre, les informations sur le fonctionnement normal du système sont collectées et stockées pendant des années ; des conditions idéales pour appliquer l'apprentissage machine.
Grâce aux lois de la physique, tous les signaux de processus dans le système sont interconnectés. Par exemple, si le capteur d'une vanne indique un blocage, les capteurs doivent indiquer un changement correspondant de pression, de volume ou de température à un autre endroit. Tous ces indicateurs sont liés entre eux. Le moindre changement dans le processus de production se traduit par des lectures différentes pour de nombreux capteurs. Le système d'apprentissage machine, formé à partir de données collectées dans des conditions normales de fonctionnement, peut étudier ces relations. En outre, le moteur peut fonctionner en mode d'auto-apprentissage si de nouvelles données qui n'étaient pas prises en compte auparavant sont mises à disposition. Le résultat ? Des anomalies dans le processus de production peuvent être détectées.
Comment cela fonctionne-t-il en pratique ?
Cette solution de cyber -sécurité industrielle surveille le trafic de processus via l'inspection approfondie des paquets (DPI) et a, donc, accès aux données des capteurs et des commandes. Ces informations sont analysées en temps réel par le système MLAD (formé sur les données collectées dans des conditions normales d'exploitation) pour prévoir ce que devrait être l'état normal du système à court terme (le moment exact de la prévision peut être ajusté).
Bien sûr, les prévisions peuvent être et seront différentes de la réalité. La question est de savoir quelle est l'importance de cette différence. Au cours du processus d'apprentissage, le système calcule les valeurs limites de l'erreur de prévision ; dans ce cas, les écarts sont considérés comme une anomalie.
Avantages de la méthode
Contrairement à un système expert, qui fonctionne selon un ensemble de règles strictement définies, une solution de sécurité basée sur des algorithmes d'apprentissage automatique est plus souple. Pour qu'un système expert puisse fonctionner dans des conditions de fonctionnement différentes, ses règles sont souvent généralisées, ce qui peut retarder la prévention du danger. Un système basé sur l'apprentissage machine ne présente pas ce défaut.
La flexibilité est, également, particulièrement importante si l'entreprise doit adapter le processus de production. Avec un système d'apprentissage machine, il n'est pas nécessaire de changer le système de sécurité.