Cybersécurité des équipements connectés industriels : modélisation, détection et performance temporelle en présence d'intrusions de systèmes cyber-physiques de l'usine 4.0

Over the past decade, the industry has been the victim of several attacks. This phenomenon of cybercrime is eased with the emergence of I4.0. This fourth industrial revolution is characterized by the convergence of Information Technology and Operation Technology worlds’, the huge generated data, the use of Cloud as new storage means and the limits of the security mechanisms. All these factors increase the risk of cyber-attacks in industry. The latter can be protected by several security mechanisms including IDS. IDS give visibility of a system activities which in turn allow a timely detection and response to suspicious events. In literature, exist two IDS approaches types: signatures-based and anomaly-based IDS. This last one is more efficient to detect advanced attacks and it is composed of two other IDS types: specification-based IDS and behavioral-based IDS. In industrial intrusion detection field, the main problematic is how to distinguish an industrial process dysfunction from a real intrusion. In this thesis, the proposed approach deals with this specific point. Consequently, hybridization of two types of anomaly-based IDS remains the most efficient method to distinguish a process dysfunction from a real cyber-attack in order to perform a high intrusion detection precision. Therefore, this thesis proposes a hybrid detection approach composed of a behavioral-based IDS is based on the network traffic analysis’ using supervised neural network algorithm which learns the normal behavior of the production line and considers any activity that deviates from this reference behavior as intrusion. A specification-based IDS is based on ISA95 standard allowing the detection of the process anomalies and helps to measure the previously detected attacks impact. And a decision-making system (DMS) which pairs the two previous IDS detection results to determine the anomaly nature. The results of this approach are promising with more accurate detection with fewer false positives.Au cours de la dernière décennie, l’industrie a été victime de plusieurs attaques. Ce phénomène de cybercriminalité est favorisé par l’émergence de l’industrie 4.0. Cette 4ème révolution industrielle est caractérisée par la convergence des mondes des technologies de l’information et des technologies des opérations, les énormes données générées, l’utilisation du Cloud comme nouveau moyen de stockage et la limitation des mécanismes de sécurisation. Toutes ces raisons augmentent le risque des cyberattaques dans l’industrie. Cette dernière peut être protégée par plusieurs moyens de sécurité dont les IDS. Ces derniers donnent une visibilité sur les activités du système qui permet une détection et une réponse à tout événement suspect en temps opportun. Deux types d’approches d’IDS existent dans la littérature qui sont les IDS basés sur les signatures et les IDS par anomalies. Dans le domaine de la détection d’intrusions industrielles, la principale problématique consiste à distinguer une panne industrielle d’une véritable intrusion. Dans cette thèse, l’approche proposée traite ce point spécifique. Par conséquent, l’hybridation de deux types d’IDS par anomalies reste la méthode la plus efficace pour distinguer une panne d’une cyberattaque et réaliser une haute performance en termes de détection d’intrusion. Par conséquent, cette thèse propose une approche composée de 2 IDS et un système d’aide à la décision (DMS) : un comportemental basé sur un réseau neuronal supervisé analysant le trafic du réseau et apprenant le comportement normal d’une ligne de production, un IDS par spécifications basé sur un standard industriel (ISA-95) qui permet de mesurer l’impact des attaques détectées par le précédent IDS et un DMS qui couple les résultats des deux IDS pour déterminer la nature de l’anomalie détectée : panne ou cyberattaque Les résultats de cette hybridation sont prometteurs en termes de précision de détection et du taux des faux positifs