Comment sécuriser un système embarqué dès sa conception ?
Que les systèmes soient automatisés ou manuels, la qualité de l’information est critique pour prendre au plus tôt la meilleure décision. Pour recueillir les données les plus justes, les plus riches et les plus immédiates possibles, les équipements de défense embarqués sont de plus en plus reliés entre eux et avec les réseaux de communication. La contrepartie de cette interconnexion est la démultiplication des possibilités d’intrusion se traduisant par une explosion du nombre, du type et de la gravité des cybermenaces qui pèsent sur les systèmes. Pour y faire face, les équipements doivent impérativement élever leur niveau de protection et intégrer des dispositifs adéquats.
La difficulté est que les technologies et les méthodes employées par les hackers évoluent extrêmement rapidement. Or, dans les secteurs particulièrement sensibles de l’aéronautique et de la défense, où les projets s’étalent sur une dizaine d’années, les équipements sont appelés à
rester opérationnels pendant plusieurs décennies.
Alors comment développer des systèmes embarqués sécurisés qui doivent faire face à des évolutions technologiques pouvant les menacer ? Puisqu’il est difficile de prévoir l’évolution parallèle des menaces et des normes sécuritaires, il est primordial d’anticiper, dès les prémisses de la conception des systèmes, des mesures de cybersécurité évolutives, qui n’impacteront pas l’intégration et la disponibilité du système une fois implémenté.
Des architectures et solutions matérielles pour sécuriser les systèmes de défense embarqués
Un premier levier permet de sécuriser les systèmes embarqués : il s’agit d’intégrer dès les phases de conception une architecture technique et des matériels sécurisés. Si la conception de la structure du système est elle-même pensée de manière sécurisée, alors les risques d’intrusion sont minimisés. De cette façon, il ne sera pas nécessaire d’intégrer ultérieurement des surcouches de sécurité susceptibles de nuire à la performance ou à la disponibilité du système – par exemple un antivirus trop gourmand en puissance de calcul.
Ceci est possible car l’embarqué est un domaine à part, qui s’appuie sur de nombreux composants spécifiques et sur la mise en oeuvre parfois atypique de technologies standards. La connectique, les brochages et le cloisonnement physique des composants peuvent ainsi offrir des parades radicales bien que complètement différentes des approches reconnues par la cybersécurité usuelle.
Prenons l’exemple d’une connectique USB ou Ethernet : les protocoles seront communs à ceux de l’industrie classique, mais l’interface physique de ces connectiques ne sera pas standard : il s’agira d’interfaces physiques spécifiques au système, et répondant aux exigences sécuritaires des systèmes
de défense.
Un autre avantage de telles solutions est qu’elles sont propres à chaque équipement : impossible donc de les déjouer sans avoir auparavant obtenu des informations précises les concernant, informations confidentielles qui sont elles-mêmes sécurisées. Efficaces, peu coûteuses et pérennes vis-à-vis de l’évolution des menaces, les solutions architecturales cumulent tous les avantages… à condition d’y avoir pensé à temps !
« Cyber secure by design », la gestion de projet repensée
La cybersécurité d’un système de défense embarqué doit se concevoir dès l’origine du projet en posant clairement les risques, les contraintes environnementales (encombrement, chaleur, humidité, poussière…), les exigences opérationnelles (traitement en temps réel, intégrité des données…) et les coûts de mise en oeuvre. Ceci ne peut se faire qu’en collaboration étroite avec le client car lui seul peut juger du juste équilibre à trouver entre ces quatre paramètres. Un travers fréquent, par exemple, est de se prémunir des cybermenaces jusqu’à l’excès, au risque de compromettre l’implémentation, l’utilité ou encore la praticité du système embarqué, devant être disponible dans des conditions critiques (pleine mer, environnement menaçant, …). Il est donc primordial d’impliquer très tôt, dès les phases de conception, les organismes de certification et de contrôle car leurs expériences et leurs capacités de test peuvent être précieuses. En outre, ce sont eux qui, finalement, évalueront le système à implémenter. Certaines pouvant sortir de l’ordinaire, voire contrevenir à certaines normes, ce processus peut prendre du temps et de la persuasion, et mieux vaut par conséquent l’avoir anticipé. Ce dialogue doit se poursuivre tout au long du projet de manière à valider d’abord les grands principes lors de la revue de définition préliminaire (PDR, Preliminary Design Review), puis les solutions techniques lors de la revue de définition critique (CDR, Critical Design Review). La gestion d’un tel projet doit donc être révisée et enrichie de ces étapes cruciales de conception/validation sécuritaires, afin d’assurer la livraison d’un système critique implémentable et qui répond aux exigences
A propos d’Atos ALSe
Spécialisée dans la conception de systèmes embarqués à destination des plateformes de défense, l’activité Air Land Sea Electronics (ALSe) du groupe Atos développe méthodes et savoir-faire technologiques nécessaires pour répondre à leurs enjeux spécifiques en matière de cybersécurité :
- se conformer aux exigences de sécurité des systèmes d’informations ;
- respecter les spécifications liées aux contraintes des environnements critiques ;
- maintenir un niveau approprié de performance ;
- garantir la disponibilité opérationnelle des systèmes afin de ne pas compromettre le déroulement des missions.
A propos des auteurs
Norbert Di Costanzo
Chief Operating Officer et membre senior de la communauté scientifique Atos
Norbert est Chief Operating Officer des solutions Air Land Sea electronics chez Atos depuis 2012. Norbert fait partie des communautés d’experts Atos spécialisées dans le calcul avancé et le hard/firmware.
