DAG-Based Attack and Defense Modeling: Don't Miss the Forest for the Attack Trees

This paper presents the current state of the art on attack and defense modeling approaches that are based on directed acyclic graphs (DAGs). DAGs allow for a hierarchical decomposition of complex scenarios into simple, easily understandable and quantifiable actions. Methods based on threat trees and Bayesian networks are two well-known approaches to security modeling. However there exist more than 30 DAG-based methodologies, each having different features and goals. The objective of this survey is to present a complete overview of graphical attack and defense modeling techniques based on DAGs. This consists of summarizing the existing methodologies, comparing their features and proposing a taxonomy of the described formalisms. This article also supports the selection of an adequate modeling technique depending on user requirements

Des relations entre sûreté et sécurité

Safety and security have long been considered as independent issues, and dealt with by separated communities. In fact, they share substantial commonalities that have already supported several reciprocal inspirations on methodological, technological or architectural aspects. Nevertheless, the exchanges between the associated communities are still very limited and the potential for cross-fertilization is still significant. Moreover, the convergence of safety and security requirements and measures on the same systems is a recent phenomenon with consequences which are still to be mastered. This thesis deals with the relationships between safety and security covering both the cross-fertilization on a methodological point of view and the consequences of their convergence. It has led to three main contributions: - The SEMA referential framework, which helps to make the latent differences underlying the use of the terms "security" and "safety" explicit by a simple graphical notation; - The adapation of the BDMP formalism from the safety area to security, providing an attractive trade-off between readability and modeling power in attack modeling; - A new approach, based on BDMP, enabling graphical representation, qualitative and quantiative analysis of situations combining safety and security risks. For each contribution, several possible enhancements and alternatives have been identified, which will make sense as the safety and the security communities strengthen their links. Beyond the contributions, this Ph.D. thesis aims at being both a manifestation and an invitation for such a rapprochement.Historiquement séparées, sûreté et sécurité sont pourtant deux problématiques intimement liées. Si les trop rares initiatives de décloisonnement, adaptant notamment des outils d'un domaine à l'autre, ont abouti à des résultats convaincants, ce décloisonnement reste encore timide et son potentiel considérable. De plus, la récente convergence de risques de sécurité et de sûreté implique des interactions inédites entre exigences et mesures auparavant distinctes, dont la caractérisation nécessite une perspective globale. Dans ces conditions, ces travaux de thèse ont d'abord visé à mieux cerner les notions de sûreté et de sécurité. Ils ont conduit à un cadre référentiel dénommé SEMA (Système-Environnement Malveillant-Accidentel) permettant de positionner ces concepts l'un par rapport à l'autre selon les contextes. La complémentarité des outils de chaque discipline a ensuite été explorée. Cette démarche s'est concrétisée par l'adaptation des BDMP (Boolean logic Driven Markov Processes), issus de la sûreté, au domaine de la modélisation graphique d'attaques. Ils permettent de dépasser bien des limites des techniques classiquement employées. Enfin, l'extension des BDMP a été mise à profit pour fournir un formalisme intégratif, permettant de capturer graphiquement et de caractériser des situations où risques sûreté et sécurité s'exercent conjointement. Pour chacune de ces trois contributions, limites, améliorations et voies alternatives ont été identifiées. Elles n'auront sens que si les communautés de la sûreté et de la sécurité accentuent leur rapprochement, dont cette thèse se veut à la fois une manifestation et une invitation

Des relations entre sûreté et sécurité

National audienceHistoriquement séparées, sûreté et sécurité sont pourtant des problématiques intimement liées. Si un décloisonnement timide a déjà abouti à des résultats d'intérêt, son potentiel reste considérable. De plus, la récente convergence de risques de sécurité et de sûreté implique des interactions inédites entre exigences et mesures auparavant distinctes. Dans ce contexte, les travaux de thèse résumés dans cet article ont d'abord visé à mieux cerner les notions de sûreté et de sécurité. Ils ont conduit à un outil dénommé SEMA (Système-Environnement Malveillant-Accidentel) permettant de positionner ces concepts l'un par rapport à l'autre selon les contextes. La complémentarité des outils de chaque discipline y a ensuite été explorée. Cette démarche s'est concrétisée par l'adaptation des BDMP (Boolean logic Driven Markov Processes), issus de la sûreté, au domaine de la modélisation graphique d'attaques améliorant l'état de l'art en la matière. Enfin, l'extension des BDMP a été mise à profit pour fournir un formalisme intégratif, permettant de capturer graphiquement et de caractériser des situations où risques sûreté et sécurité s'exercent conjointement. Bien au-delà de ces trois contributions, les communautés de la sûreté et de la sécurité doivent accentuer leur rapprochement, dont les travaux ici rapportés se veulent à la fois une manifestation et une invitation

Les paradoxes de la sécurité industrielle, nouveaux champs de recherche

International audienc

Etat de l'art sur les méthodes de modélisation pour les infrastructures critiques interdépendantes

International audienceLa modélisation des infrastructures critiques interdépendantes est un outil précieux pour l'identification de leurs modes de défaillance les plus critiques et d'en trouver des parades. Différentes approches ont déjà été utilisées pour modéliser les infrastructures critiques ainsi que leurs interdépendances en vue de leur sécurisation. Elles permettent de caractériser les systèmes critiques interconnectés afin de faciliter l'analyse de risques et la définition de méthodes et de mécanismes locaux et globaux de sécurisation efficaces. Cet article présente un état de l'art des méthodes adaptées à la modélisation des réseaux électriques et à leur dépendance aux systèmes TIC associés. Nous présenterons des approches basées sur la théorie des réseaux (ou systèmes) complexes, sur des outils spécialisés communicants (co-simulateur), sur des agents, sur les réseaux de Petri ou sur l'utilisation des BDMP (Boolean logic Driven Markov Processes.