DECAREM

Les réseaux électriques sont des système cyber-physiques. Ils intègrent un réseau physique transportant et distribuant l'électricité, couplé à un réseau cybernétique de communication et de technologie de l'information (appelé communément «réseau IT»). Le pilotage opérationnel du réseau physique est effectué sur la base d'informations reçues du réseau IT. Selon l'état communiqué, l'opérateur décidera de connecter/déconnecter des lignes, de changer le réglage de transformateurs ou encore de modifier les connexions sur jeux de barres. Les commandes correspondantes sont transmises sur le réseau IT.

Cette infrastructure sensible fait l'objet de cyber-attaques de plus en plus fréquentes. Le ver informatique StuxNet a frappé la centrale nucléaire iranienne de Bushehr en 2010. En 2018, un black-out affectant des centaines de milliers de consommateurs a suivi la pénétration du système SCADA du réseau électrique ukrainien. Très récemment, un nouveau logiciel malveillant appelé Pipedream a été découvert, qui menace notamment les systèmes de contrôles d'infrastructures critiques telles que les systèmes électriques.

Le présent projet s'intéresse aux cyber-anomalies affectant la partie « réseau IT » du réseau électrique où, suite à une attaque, l'information sur l'état de fonctionnement d'un ou plusieurs composants du système est erronée. Par exemple, l'opérateur reçoit l'information qu'une centrale est déconnectée du réseau alors qu'elle produit à pleine puissance ; qu'une ligne est ouverte alors qu'elle est fermée et transporte une puissance proche de sa capacité maximale ; qu'un jeu de barres a une certaine topologie alors que les lignes y sont connectées différemment.

L'existence de telles anomalies peut en principe être détectée assez facilement, si l'opérateur dispose d'informations redondantes telles que flots sur les lignes, en sus des puissances injectées et soutirées. Par contre, la localisation de l'anomalie nécessite des investigations supplémentaires : plusieurs anomalies différentes peuvent en principe générer une même différence de flot sur une ligne particulière. De plus, si l'identification d'une anomalie sur l'information reçue du réseau IT nécessite que ce dernier transmette des données supplémentaires, elle ouvre des portes d'entrée supplémentaires aux cyber-attaques pour chaque donnée redondante demandée. Une méthode rapide et fiable d'identification des anomalies est donc recherchée, qui ne vulnérabilise pas le réseau cyber-physique encore plus qu'il ne l'est déjà, tout en incluant des connaissances préalables sur les vulnérabilités du réseau IT et sur les anomalies potentiellement les plus dangereuses. L'efficacité des algorithmes de détection doit ensuite être testée dans des conditions aussi proches que possible de la réalité.

Objectifs

L’objectif principal de ce projet est de construire des algorithmes numériques permettant la détection rapide et précise de cyber-attaques sur la partie IT d’un réseau électrique.

Les objectifs spécifiques sont au nombre de trois. Il s’agit

• D’identifier les portes d’entrée principales qu’un cyber-attaquant utiliserait pour pénétrer la partie IT d’un réseau électrique,
• De tester différents algorithmes numériques permettant de détecter des anomalies cybernétiques sur les données opérationnelles de réseaux électriques telles qu’annoncées par le réseau IT,
• De valider ces outils dans des conditions aussi proches que possible de la réalité.