© Alexiy Klementiev - Photolia

Août 2003 : une gigantesque panne électrique affecte le nord-est des Etats-Unis et le Canada. A l’origine, un court-circuit sur une ligne à très haute tension. La cascade des délestages qui s’est ensuivie a été largement facilitée par la défaillance d’un logiciel de surveillance de l’état du réseau électrique, masquant la présence du court-circuit aux opérateurs. Il s’est agi de défaillances dites en escalade : la défaillance du logiciel de surveillance a aggravé les conséquences de la défaillance électrique, les deux défaillances s’étant produites indépendamment l’une de l’autre. De telles défaillances sont caractéristiques des interdépendances entre infrastructures essentielles, en l’occurrence l’infrastructure électrique et l’infrastructure informationnelle.

Parmi les causes supputées de cette panne électrique, figuraient des attaques de l’infrastructure informationnelle. Les investigations conduites sur les causes de la panne ont démontré qu’il n’en était rien. Cependant, quelques mois auparavant, le ver Slammer avait infecté le système informatique de sécurité d’une centrale nucléaire, provoquant sa mise hors service, heureusement sans conséquence car détectée à temps.    
Ces deux exemples de conséquences indésirables des interdépendances entre deux infrastructures essentielles, des premières de surcroît, mettent en évidence la nécessité de comprendre ces interdépendances, de les modéliser, de s’en protéger. Ces interdépendances, et les risques de défaillance en cascade ou en escalade qui s’ensuivent, sont accrus par les évolutions récentes des modes d’exploitation et des architectures de contrôle et de surveillance des réseaux électriques entraînés par l’ouverture et la déréglementation des marchés. Historiquement, les réseaux électriques ont été exploités et contrôlés d’une manière centralisée. Avec l’ouverture des marchés et l’émergence de nouvelles formes de production de l’énergie électrique, on s’oriente de plus en plus vers des modes d’exploitation décentralisée, faisant intervenir des organisations multiples, s’appuyant sur des systèmes d’information interconnectés, ouverts sur Internet.
Les travaux menés au laboratoire sur le thème des interdépendances entre les infrastructures informationnelles et électriques ont abouti, d’une part, à un modèle des défaillances consécutives aux interdépendances, et, d’autre part, à la formulation de politiques de sécurité intégrant les interdépendances.

Ces travaux ont été conduits au sein du projet européen CRUTIAL (http://crutial.cesiricerca)

Le modèle permet de représenter de façon unifiée l’influence, sur l’occurrence de défaillances en cascade ou en escalade, des fautes accidentelles (défaillances du matériel, défauts résiduels du logiciel, interactions inappropriées) de l’infrastructure informationnelle et des malveillances (attaques externes ou malversations internes) à son encontre, ainsi que des défaillances de l’infrastructure électrique. Ce modèle est basé sur l’hypothèse que les défaillances en cascade ayant pour origine des dysfonctionnements dans une infrastructure donnée, induisent des contraintes sur le fonctionnement de l’autre infrastructure (se traduisant par exemple par des dégradations des performances ou des interventions inappropriées sur le réseau électrique). Pour l’infrastructure électrique, ces contraintes peuvent résulter en des changements intempestifs de la configuration du réseau, conduisant par exemple à l’isolation d’une ligne électrique ou d’une partie du réseau de transmission ou de distribution de l’énergie. Ce modèle unifié s’est avéré très utile pour une meilleure compréhension des défaillances liées aux interdépendances.
Les politiques de sécurité, et les mécanismes de contrôle d’accès à l’information qui s’en déduisent, se doivent d’être adaptés au contexte hétérogène, ouvert et multi-organisations, qui caractérise les infrastructures étudiées. La politique de sécurité proposée est basée sur une extension du modèle OrBAC (Organization Based Access Control). Un tel modèle est bien adapté pour décrire différents rôles ou activités dans un contexte multi-organisations, et pour exprimer des règles de sécurité incluant des permissions, des obligations ou des interdictions. Les contrôles d’accès associés, ainsi que la gestion des interactions entre différentes organisations s’appuient sur l’utilisation de services Web.
Ces travaux ont été conduits au sein du projet européen CRUTIAL (Critical UTility InfrastructurAL Resilience), qui porte sur la protection des infrastructures électriques et informationnelles en considérant leurs interdépendances. Les infrastructures informationnelles considérées incluent les systèmes destinés à la surveillance opérationnelle et au contrôle du réseau électrique, ainsi que les systèmes d’information servant de support pour les échanges entre les différents acteurs économiques dans le contexte des architectures ouvertes du futur. Le projet associe six partenaires, qui sont, outre le LAAS, le CESI-RICERCA (Centro Elettrotecnico Sperimentale Italiano Ciancinto Motta, Milan, coordinateur du projet), le CNIT (Consorzio Nazionle Interuniversitario per le Telecomunicazioni, Turin), le CNR-ISTI (Consiglio Nazionale delle Ricerche - Istituto di Szienza e Tecnologie del l’Informazione, Pise), l’Université Catholique de Leuven, l’Université de Lisbonne. Le projet, d’une durée de trois ans, a démarré en janvier 2006.
Les deux classes de travaux effectués par le LAAS ont une forte portée de collaboration. Le modèle des défaillances consécutives aux interdépendances a servi de base à la formalisation des interdépendances, ainsi qu’à l’élaboration de modèles détaillés tenant compte des architectures internes des infrastructures. La mise en œuvre actuellement menée de la politique de sécurité est destinée à être intégrée au sein de l’architecture globale proposée par CRUTIAL, qui inclut des mécanismes de tolérance aux intrusions et aux fautes accidentelles.