EP3042284A1

EP3042284A1 - Means of protection for industrial computerized systems

Info

Publication number: EP3042284A1
Application number: EP14786996.0A
Authority: EP
Inventors: Frédéric PLANCHON
Original assignee: Fpc Ingenierie
Current assignee: Fpc Ingenierie
Priority date: 2013-09-04
Filing date: 2014-09-02
Publication date: 2016-07-13
Also published as: FR3010202B1; FR3010202A1; WO2015033049A1

Abstract

The invention relates to a means of protection for detecting anomalies in a computerized system deployed in an industrial infrastructure. The industrial infrastructure comprises functional elements intended to implement processes. Accordingly, behaviour information relating to the state and to the behaviour of the functional elements is collected together with system information relating to the computerized system. Next, a reference state is determined from among a list of previously defined states, on the basis of the behaviour information. A deviation between on the one hand the behaviour information and the system information collected and on the other hand behaviour reference information and reference information regarding systems associated with the reference state is identified.

Description

Moyens de protection pour systèmes informatiques industriels Means of protection for industrial computer systems

La présente invention se rapporte à des moyens de protection pour systèmes informatiques déployés dans un contexte industriel. Elle concerne plus particulièrement des moyens capables d'identifier des comportements anormaux au sein d'une infrastructure industrielle, sans connaissance a priori d'une quelconque signature d'un programme malveillant à l'origine de ces dysfonctionnements. The present invention relates to protection means for computer systems deployed in an industrial context. It relates more particularly to means capable of identifying abnormal behaviors within an industrial infrastructure, without prior knowledge of any signature of a malicious program at the origin of these malfunctions.

Les infrastructures industrielles comportent de nombreux équipements supervisés, pilotés, et/ou interconnectés par des systèmes informatiques industriels. La vulnérabilité de ces installations à des attaques informatiques est bien réelle, et les risques encourus très significatifs. Parmi les menaces connues, on peut notamment citer les programmes destinés à intercepter, détruire et/ou modifier des données, ou encore les programmes informatiques destinés à modifier ou compromettre le comportement du système. Industrial infrastructures include many equipment supervised, controlled, and / or interconnected by industrial computer systems. The vulnerability of these installations to cyber attacks is very real, and the risks incurred are very significant. Known threats include programs designed to intercept, destroy and / or modify data, or computer programs intended to modify or compromise the behavior of the system.

Les solutions pour prévenir ces menaces fonctionnent sur un principe similaire à celui utilisé pour protéger les systèmes d'informations conventionnelles. Par exemple, il est connu d'utiliser, dans des systèmes informatiques industriels, des logiciels basés sur la reconnaissance d'une signature propre à un programme malveillant, appelé logiciel antivirus. Des systèmes de détection d'intrusion, communément désignés par l'acronyme anglais «IDS» pour «intrusion détection System», ont aussi été utilisés afin de repérer des activités suspectes au niveau de l'infrastructure de communication. Toutefois, ces solutions ne sont efficaces que pour les menaces connues et clairement identifiées, ou bien provoquent un taux de fausse alarme rédhibitoire lors de la mise en œuvre, et nécessitent des mises à jour constantes. Solutions to prevent these threats operate on a principle similar to that used to protect conventional information systems. For example, it is known to use, in industrial computer systems, software based on the recognition of a signature specific to a malicious program, called antivirus software. Intrusion detection systems, commonly referred to by the acronym "IDS" for "Intrusion Detection System", have also been used to identify suspicious activities in the communications infrastructure. However, these solutions are only effective for known and clearly identified threats, or cause an alarming false alarm rate during implementation, and require constant updates.

La solution, décrite dans le document de brevet WO 2009/128 905, repose sur l'utilisation de tels systèmes de détection conventionnels, en particulier sur l'utilisation d'un système antivirus et d'un système de détection d'intrusion pour remonter des alertes à une console centrale. Ainsi, seules les menaces connues de la base de données des signatures du système antivirus et du système de détection d'intrusion peuvent être interceptées. The solution, described in the patent document WO 2009/128 905, is based on the use of such conventional detection systems, in particular on the use of an antivirus system and an intrusion detection system to reassemble alerts to a central console. Thus, only known threats from the signature database of the antivirus system and the intrusion detection system can be intercepted.

C'est pourquoi il existe un besoin pour des moyens de détection d'anomalies dans un système informatique industrielle utilisé pour superviser, piloter, et/ou interconnecter des équipements dans une infrastructure industrielle, lesdites anomalies résultant potentiellement de menaces inconnues des moyens de détection. Il existe aussi un besoin pour des moyens d'alerte et/ou de protection pour systèmes informatiques industriels efficaces contre des attaques inconnues a priori. This is why there is a need for anomaly detection means in an industrial computer system used to supervise, control, and / or interconnect equipment in an industrial infrastructure, said anomalies potentially resulting from unknown threats of the detection means. he There is also a need for warning and / or protection means for efficient industrial computer systems against unknown prior attacks.

Un des objets de l'invention est de fournir des moyens de détection d'anomalies dans un système informatique industriel, lesdites anomalies résultant potentiellement de menaces inconnues. Un autre objet de l'invention est d'identifier les comportements anormaux pouvant résulter d'une attaque ou des effets d'un programme malveillant. Un autre objet de l'invention est d'identifier les anomalies dans le comportement des équipements industriels, y compris lorsque ces derniers s'acquittent correctement de leurs fonctions. Un autre objet de l'invention est de permettre l'identification de symptômes précurseurs, en particulier les symptômes précédant l'apparition de dysfonctionnements dans les équipements industriels. Un autre objet de l'invention est d'identifier des anomalies pouvant mettre en cause la fiabilité et la sûreté de fonctionnement des équipements industriels. Un autre objet de l'invention est d'informer des anomalies identifiées et de proposer et/ou mettre en œuvre automatiquement un traitement approprié. Un autre objet de l'invention est de fournir des moyens aptes à s'adapter aux évolutions et aux variations de l'infrastructure industrielle et du système informatique industriel dans lesquels les moyens sont déployés, tout en limitant les risques de fausse détection. One of the objects of the invention is to provide means for detecting anomalies in an industrial computer system, said anomalies potentially resulting from unknown threats. Another object of the invention is to identify the abnormal behaviors that may result from an attack or the effects of a malicious program. Another object of the invention is to identify anomalies in the behavior of industrial equipment, even when the latter perform their functions correctly. Another object of the invention is to enable the identification of precursor symptoms, in particular the symptoms preceding the appearance of malfunctions in industrial equipment. Another object of the invention is to identify anomalies that may jeopardize the reliability and dependability of industrial equipment. Another object of the invention is to inform identified anomalies and to propose and / or automatically implement an appropriate treatment. Another object of the invention is to provide means adapted to adapt to changes and variations in the industrial infrastructure and industrial computer system in which the means are deployed, while limiting the risk of false detection.

Un ou plusieurs de ces objets sont remplis par le module et le procédé selon les revendications indépendantes. Les revendications dépendantes fournissent en outre des solutions à ces objets et/ou d'autres avantages. One or more of these objects are filled by the module and the method according to the independent claims. The dependent claims further provide solutions to these objects and / or other advantages.

Plus particulièrement, selon un premier aspect, l'invention se rapporte à un module de protection, pour détecter des anomalies dans un système informatique déployé dans une infrastructure industrielle. L'infrastructure industrielle est par exemple une usine, un centre de gestion d'un réseau énergétique, etc. L'infrastructure industrielle comporte des éléments fonctionnels destinés à mettre en œuvre des processus. Typiquement, les éléments fonctionnels sont destinés à mettre en œuvre les processus permettant d'assurer la production de produits, de gérer des flux, et/ou de fournir des services. Les éléments fonctionnels sont par exemple des systèmes de supervision, des automates, et/ou des systèmes de télésurveillance et d'acquisition de données. Le système informatique peut comprendre en outre des capteurs ou actionneurs pilotés par des automates autonomes et exécutant des fonctions embarquées. Le système informatique est typiquement employé pour interconnecter, contrôler et automatiser la gestion des éléments fonctionnels permettant à l'infrastructure industrielle d'assurer sa mission. Le système informatique peut comporter un ou plusieurs réseaux de communication, par exemple un réseau de type «Ethernet», pour permettre l'échange d'informations entre les éléments fonctionnels. Le système informatique peut encore comporter des moyens de traitement, comme des équipements informatiques, des moyens de stockage et des serveurs, pour exécuter les logiciels nécessaires aux tâches d'interconnexion, de contrôle et d'automatisation de la gestion. More particularly, according to a first aspect, the invention relates to a protection module for detecting anomalies in a computer system deployed in an industrial infrastructure. The industrial infrastructure is for example a factory, a management center of an energy network, etc. The industrial infrastructure has functional elements to implement processes. Typically, the functional elements are intended to implement the processes to ensure the production of products, manage flows, and / or provide services. The functional elements are, for example, supervisory systems, controllers, and / or remote monitoring and data acquisition systems. The computer system may further include sensors or actuators driven by autonomous controllers and executing embedded functions. The computer system is typically used to interconnect, control and automate the management of functional elements that enable the industrial infrastructure to fulfill its mission. The computer system may comprise one or more communication networks, for example a network of type "Ethernet", to allow the exchange of information between the functional elements. The computer system may further comprise processing means, such as computer equipment, storage means and servers, for executing the software necessary for the tasks of interconnection, control and automation of management.

Le module de protection comporte une interface d'entrée adaptée à être couplée au système informatique, ainsi qu'un module de collecte, couplé à l'interface d'entrée, et configuré pour collecter des informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que des informations système relatives au système informatique. The protection module includes an input interface adapted to be coupled to the computer system, and a collection module, coupled to the input interface, and configured to collect behavior information relating to the state and behavior of the functional elements as well as system information relating to the computer system.

Le module de collecte peut acquérir lesdites informations au moyen: The collection module can acquire said information by:

• de logiciels et/ou matériels de collecte de données sur le réseau de communications du système informatique, par exemple un logiciel dit « espion » permettant d'intercepter l'activité sur les ports de communication ouverts, et d'identifier les protocoles de communication utilisés; • software and / or data collection equipment on the computer system's communications network, for example a "spyware" software for intercepting activity on open communication ports, and for identifying communication protocols used;

• de moyens de réception de données relatives aux éléments fonctionnels, par exemple des logiciels capables d'envoyer ou d'intercepter des requêtes de gestion - par exemple des requêtes SNMP— ou des logiciels capables de collecter ou accéder à des fichiers d'historique et/ou des journaux; Means for receiving data relating to the functional elements, for example software capable of sending or intercepting management requests - for example SNMP requests - or software capable of collecting or accessing historical files and / or newspapers;

· de programme de supervision, · Supervision program,

• d'outils d'administration réseau. • network administration tools.

Les informations système collectées par le module de collecte comprennent, par exemple, au moins l'une des informations suivantes: The system information collected by the collection module includes, for example, at least one of the following information:

• une information relative à une charge, à un flux et/ou à un trafic de données; • information relating to a charge, a flow and / or data traffic;

• une information relative à une topographie d'un réseau de communication du système informatique, par exemple, des listes de sous réseaux, des adresses des membres du réseau, des numéros de ports utilisés, des protocoles utilisés. • information relating to a topography of a communication network of the computer system, for example, lists of subnetworks, addresses of the members of the network, port numbers used, protocols used.

Au moins une information relative à une topographie d'un réseau de communication du système informatique peut également comprendre au moins une et notamment plusieurs informations ou données relatives à la configuration des échanges entre les éléments fonctionnels du système, en particulier à la configuration des échanges au niveau applicatif. At least one information relating to a topography of a communication network of the computer system may also comprise at least one and in particular several information or data relating to the configuration of the exchanges between the functional elements of the system, in particular to the configuration of the exchanges at the application level.

Il apparaît en effet que les différents éléments fonctionnels sont de façon usuelle configurés au moyen de fichiers ou de base de données qui indiquent par exemple à propos des messages échangés entre éléments fonctionnels les adresses des données, leur sémantique, des attributs fonctionnels. Cette configuration peut notamment être réalisée hors-ligne, par exemple avant la mise en exploitation. It appears that the various functional elements are usually configured by means of files or databases which indicate, for example, about the messages exchanged between functional elements the addresses of the data elements. data, their semantics, functional attributes. This configuration can in particular be carried out offline, for example before operation.

Ces informations définissent ainsi les échanges entre les équipements qui ont un intérêt fonctionnel. This information thus defines the exchanges between the equipments which have a functional interest.

Le module de protection peut ainsi être agencé pour réaliser un suivi et/ou valider les messages entre éléments fonctionnels ou équipements. En effet, si ces messages ne sont pas prévus dans la configuration, ils sont illégitimes et probablement faux, erronés, usurpés.... The protection module can thus be arranged to track and / or validate the messages between functional elements or equipment. Indeed, if these messages are not provided in the configuration, they are illegitimate and probably false, erroneous, usurped ....

Des informations de la base de configuration peuvent être intégrées au module de protection de façon à réaliser un suivi sur le ou les réseaux de communication en surveillant la conformité à la configuration initiale. Information from the configuration database can be integrated into the protection module so as to track the communication network (s) by monitoring compliance with the initial configuration.

Les informations de comportement collectées par le module de collecte comprennent, par exemple, au moins l'une des informations suivantes: The behavior information collected by the collection module includes, for example, at least one of the following information:

· une information relative à un état de fonctionnement et/ou à des ressources utilisées, pour un des éléments fonctionnels - par exemple en service/hors service, en phase d'initialisation, en maintenance, en mode dégradé, les ressources utilisées, les tâches actives, les processus, des informations journalisées («log» en anglais); · Information relating to a state of operation and / or resources used, for one of the functional elements - for example in service / out of service, in the initialization phase, in maintenance, in degraded mode, the resources used, the tasks active, processes, logged information ("log" in English);

· une information relative à un événement survenant lors de l'exécution des processus - par exemple la réception de commandes ou l'activation d'une information particulière; · Information relating to an event occurring during the execution of the processes - for example the receipt of orders or the activation of a particular piece of information;

• une information relative à un état et/ou à des caractéristiques de l'infrastructure industrielle - par exemple, l'activation d'équipements redondants, la présence ou l'absence d'un ou plusieurs équipements, l'état d'activation de modes particuliers comme des modes isolés; • information relating to a state and / or characteristics of the industrial infrastructure - for example, the activation of redundant equipment, the presence or absence of one or more equipment, the activation status of particular modes as isolated modes;

• une information relative à un utilisateur ou à un opérateur— par exemple la liste des opérateurs, les sessions ouvertes, les droits et autorisations des opérateurs, les équipements employés par les opérateurs; • information relating to a user or an operator - for example the list of operators, open sessions, rights and authorizations of operators, equipment used by operators;

· une information relative à un des processus mis en œuvre par les éléments fonctionnels — par exemple des mesures et/ou informations physiques relatives aux processus. · Information on one of the processes implemented by the functional elements - for example, physical measurements and / or process information.

• une information relative à l'exécution des fonctions du système informatique - il peut être utile en particulier de collecter des informations sur les éléments du système qui fonctionnent, de façon nominale ou non ; en outre, il peut également être utile de collecter la signature dynamique d'une information, c'est-à-dire les changements de valeurs typiques d'une activité dans le temps de cette activité. • information relating to the performance of the computer system functions - it may be useful in particular to collect information on which elements of the system are operating, whether or not they are nominal; in addition, he can It may also be useful to collect the dynamic signature of an information, that is, changes in the typical values of an activity over time for that activity.

Le module de protection comporte un module d'analyse, couplé au module de collecte, et configuré pour: The protection module includes an analysis module, coupled to the collection module, and configured to:

· déterminer, à partir des informations de comportement, un état de référence; · Determining, from the behavior information, a reference state;

• identifier une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence. • Identify a deviation between the behavior information and the collected system information on the one hand and the behavior reference information and system reference information associated with the reference state on the other hand.

Ainsi le module de protection peut détecter des anomalies dans le système informatique, en identifiant une déviation par rapport à un état de référence considéré comme sain. Si un logiciel malveillant est à l'origine de ladite déviation, le module de protection va identifier cette déviation, sans pour autant connaître les caractéristiques ou la signature dudit logiciel. En outre, la déviation par rapport à l'état de référence va pouvoir être repérée, même si les éléments fonctionnels remplissent encore leur fonction. Par exemple, si un automate réalise la tâche demandée correctement, mais qu'une surtension est observée comparativement à la tension nominale correspondant à l'état de référence, cette déviation va pouvoir être identifiée. Thus the protection module can detect anomalies in the computer system, by identifying a deviation from a reference state considered healthy. If malicious software is at the origin of said deviation, the protection module will identify this deviation, without knowing the characteristics or the signature of said software. In addition, the deviation from the reference state will be able to be identified, even if the functional elements still fulfill their function. For example, if a PLC performs the requested task correctly, but an overvoltage is observed compared to the nominal voltage corresponding to the reference state, this deviation will be able to be identified.

Le module d'analyse peut être configuré pour vérifier si la déviation identifiée correspond à une dérive acceptable, et le cas échéant, mettre à jour les informations de référence de comportement et les informations de référence systèmes associés à l'état de référence, de sorte à prendre en compte cette déviation. Ainsi, il est possible de mettre à jour efficacement l'état de référence, notamment pour prendre en compte des dérives acceptables, dues par exemple à l'usure de composants ou encore à des modifications des équipements ou des processus. La vérification peut être faite en demandant, par l'intermédiaire d'une interface utilisateur, à un opérateur d'indiquer si cette déviation est acceptable. The analysis module may be configured to check whether the identified deviation corresponds to an acceptable drift, and if so, to update the behavior reference information and reference system information associated with the reference state, so to take into account this deviation. Thus, it is possible to effectively update the reference state, in particular to take account of acceptable drifts, due for example to the wear of components or to changes in equipment or processes. Verification can be done by requesting, through a user interface, an operator to indicate whether this deviation is acceptable.

Le module de protection peut encore comporter un module d'apprentissage, couplé au module de collecte, et configuré pour, au cours d'une phase d'étude: The protection module may also include a learning module, coupled to the collection module, and configured for, during a study phase:

• déterminer l'état actuel à partir des informations de comportement; • determine the current state from the behavior information;

• enregistrer, dans un ensemble d'états de référence, l'état actuel ainsi qu'au moins une partie des informations de comportement et des informations de systèmes collectés. Avantageusement, lors de la phase d'étude, le module d'apprentissage peut mettre en œuvre des algorithmes d'intelligence artificielle, par exemple des algorithmes utilisant des réseaux de neurones. And recording, in a set of reference states, the current state as well as at least a portion of the behavioral information and collected system information. Advantageously, during the study phase, the learning module can implement artificial intelligence algorithms, for example algorithms using neural networks.

Il est possible d'identifier les différents états de référence pour un système donné, y compris lorsque la complexité de ce dernier est grande. Le module de protection peut ainsi s'adapter à l'infrastructure industrielle et au système informatique industriel dans lequel les moyens sont déployés, ainsi qu'aux évolutions de ce dernier, tout en limitant les risques de fausse détection. It is possible to identify the different reference states for a given system, even when the complexity of the system is large. The protection module can thus adapt to the industrial infrastructure and the industrial computer system in which the means are deployed, and changes in the latter, while limiting the risk of false detection.

Le module de protection peut également comporter une interface de sortie et un module de réaction couplé à l'interface de sortie et au module d'analyse, le module d'analyse étant configuré pour transmettre la déviation identifiée au module de réaction, le module de réaction étant configuré pour transmettre, par l'intermédiaire de l'interface de sortie, une alerte comportant des informations relatives à la déviation identifiée. Il est ainsi possible d'informer des opérateurs de sécurité et les exploitants du système des risques et anomalies identifiés et de proposer et/ou mettre en œuvre automatiquement un traitement approprié. The protection module may also include an output interface and a feedback module coupled to the output interface and to the analysis module, the analysis module being configured to transmit the identified deviation to the reaction module, the module of reaction being configured to transmit, via the output interface, an alert including information relating to the identified deviation. It is thus possible to inform security operators and system operators of the risks and anomalies identified and to propose and / or automatically implement appropriate processing.

Le module de réaction peut comporter un module de recherche de réalité configuré de sorte à autoriser l'envoi de l'alerte seulement après avoir vérifié si la déviation identifiée correspond à une anomalie en: The reaction module may include a reality search module configured to allow the sending of the alert only after checking whether the identified deviation corresponds to an anomaly in:

· observant les processus mis en œuvre par les éléments fonctionnels; et/ou, · Observing the processes implemented by the functional elements; and or,

• comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins un autre fournisseur d'informations. Comparing the collected behavioral information to behavioral information relating to the functional elements obtained from at least one other information provider.

Le module de recherche de réalité permet ainsi d'augmenter le niveau de sécurité tout en limitant les risques de fausse détection. The reality research module thus makes it possible to increase the level of security while limiting the risks of false detection.

Le module de réaction peut comporter un module de mise en sécurité configuré, lorsque l'alerte a été émise, de sorte à transmettre: The reaction module may comprise a security module configured, when the alert has been issued, so as to transmit:

• une demande de repli des processus mis en œuvres par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou, • a request for withdrawal of the processes implemented by the functional elements concerned by the deviation, to stop said functional elements or put them in a mode in which the identified deviation can not cause damage; and or,

• une demande de redémarrage des éléments fonctionnels concernés par la déviation. • a request to restart the functional elements concerned by the deviation.

Le module de mise en sécurité permet ainsi de réagir dans les meilleurs délais à des menaces ou des risques imminents, mettant en danger les équipements et/ou l'infrastructure. Si le traitement des demandes est automatisé, il est encore possible d'améliorer la réactivité et de réduire encore les risques. The security module thus makes it possible to react as soon as possible to threats or imminent risks, endangering the equipment and / or the infrastructure. If the processing of applications is automated, it is still possible to improve responsiveness and further reduce risks.

Selon un deuxième aspect, l'invention se rapporte à un procédé de protection pour détecter des anomalies dans un système informatique déployé dans une infrastructure industrielle, l'infrastructure industrielle comportant des éléments fonctionnels destinés à mettre en œuvre des processus. Le procédé comporte les étapes suivantes: According to a second aspect, the invention relates to a protection method for detecting anomalies in a computer system deployed in an industrial infrastructure, the industrial infrastructure comprising functional elements intended to implement processes. The method comprises the following steps:

• une étape de collecte d'informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que d'informations système relatives au système informatique; A step of collecting behavior information relating to the state and behavior of the functional elements as well as system information relating to the computer system;

• une étape de détermination, à partir des informations de comportement, d'un état de référence; A step of determining, from the behavior information, a reference state;

• une étape d'identification d'une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence. A step of identifying a deviation between, on the one hand, the behavioral information and the collected system information, and on the other hand behavior reference information and reference system information associated with the reference state.

Au cours de l'étape d'identification de la déviation, il peut être vérifié si la déviation identifiée correspond à une dérive acceptable : le cas échéant, les informations de référence de comportement et les informations de référence systèmes associées à l'état de référence sont mises à jour de sorte à prendre en compte cette déviation. During the step of identifying the deviation, it can be verified whether the identified deviation corresponds to an acceptable drift: where appropriate, the behavior reference information and reference system information associated with the reference state. are updated to take this deviation into account.

Le procédé peut encore comporter une étape de transmission d'une alerte comportant des informations relatives à la déviation identifiée. Dans un mode de réalisation, l'étape de transmission de l'alerte est mise en œuvre seulement si, au cours d'une étape de vérification il a été établi que la déviation identifiée correspond à une anomalie en: The method may further comprise a step of transmitting an alert comprising information relating to the identified deviation. In one embodiment, the step of transmitting the alert is implemented only if, during a verification step, it has been established that the identified deviation corresponds to an anomaly in:

• observant les processus mis en œuvre par les éléments fonctionnels; et/ou, • observing the processes implemented by the functional elements; and or,

• comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins une autre source d'informations. Comparing the collected behavioral information to behavioral information relating to the functional elements obtained from at least one other information source.

Le procédé peut aussi comporter une étape de mise en sécurité suite à l'émission de l'alerte, au cours de laquelle est transmise: The method may also include a security step following the issuance of the alert, during which is transmitted:

• une demande de repli des processus mis en œuvre par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou, A request for withdrawal of the processes implemented by the functional elements concerned by the deviation, to stop said functional elements or put them in a mode in which the identified deviation can not cause damage; and or,

Selon un troisième aspect, l'invention se rapporte à un programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé selon le deuxième aspect, lorsque ledit programme est exécuté par un processeur. According to a third aspect, the invention relates to a computer program comprising instructions for performing the steps of the method according to the second aspect, when said program is executed by a processor.

Chacun de ces programmes peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. En particulier, il est possible d'utiliser des langages de script, tels que notamment tel, javascript, python, perl qui permettent une génération de code « à la demande » et ne nécessitent pas de surcharge significative pour leur génération ou leur modification. Each of these programs can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any form what other form is desirable. In particular, it is possible to use scripting languages, such as in particular tel, javascript, python, perl that allow "on demand" code generation and do not require significant overhead for their generation or modification.

Selon un quatrième aspect, l'invention se rapporte à un support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé selon le deuxième aspect. According to a fourth aspect, the invention relates to a computer-readable recording medium on which is recorded a computer program comprising instructions for executing the steps of the method according to the second aspect.

Le support d'informations peut être n'importe quelle entité ou n'importe quel dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD-ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette ou un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé par un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau Internet ou Intranet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question. The information carrier may be any entity or any device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD-ROM or a microelectronic circuit ROM, or a magnetic recording means, for example a diskette or a hard disk. On the other hand, the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed by an electrical or optical cable, by radio or by other means. The program according to the invention can be downloaded in particular on an Internet or Intranet network. Alternatively, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.

Brève description des figures Brief description of the figures

D'autres particularités et avantages de la présente invention apparaîtront, dans la description ci-après de modes de réalisation, en référence aux dessins annexés, dans lesquels: Other features and advantages of the present invention will become apparent from the following description of embodiments with reference to the accompanying drawings, in which:

• la figure 1 est un schéma bloc illustrant un système informatique industriel; FIG. 1 is a block diagram illustrating an industrial computer system;

• la figure 2 est un schéma bloc du module de protection; • la figure 3 est un schéma bloc du module de réaction ; FIG. 2 is a block diagram of the protection module; FIG. 3 is a block diagram of the reaction module;

• la figure 4 est un diagramme de séquence d'un procédé de protection. FIG. 4 is a sequence diagram of a protection method.

La figure 1 illustre schématiquement un système informatique 10 industriel, selon un mode de réalisation de l'invention. Le système informatique 10 est par exemple déployé dans une infrastructure industrielle, comme une usine ou un centre de gestion d'un réseau énergétique. Il est typiquement employé pour interconnecter, contrôler et automatiser la gestion d'éléments fonctionnels permettant à l'infrastructure industrielle d'assurer sa mission. Typiquement, les éléments fonctionnels sont destinés à mettre en œuvre les processus permettant d'assurer la production de produits, de gérer des flux, et/ou de fournir des services, etc. Les éléments fonctionnels sont par exemple des systèmes de supervision 12, des automates 14, et/ou des systèmes de télésurveillance et d'acquisition de données 16 (généralement désigné par l'acronyme anglais «SCADA» pour «supervisory control and data acquisition»). Le système informatique comporte en outre un réseau de communication 18, par exemple un réseau de type «Ethernet», pour permettre l'échange d'informations entre les éléments fonctionnels de l'infrastructure industrielle. Le système informatique 10 comporte encore des moyens de traitement 20, par exemple des équipements informatiques, des moyens de stockage et des serveurs, pour exécuter les logiciels nécessaires aux tâches d'interconnexion, de contrôle et d'automatisation de la gestion. Le système informatique comporte aussi un module de protection 22, et un centre de sécurité 24. Figure 1 schematically illustrates an industrial computer system 10 according to one embodiment of the invention. The computer system 10 is for example deployed in an industrial infrastructure, such as a plant or a management center of an energy network. It is typically used to interconnect, control and automate the management of functional elements that enable the industrial infrastructure to fulfill its mission. Typically, the functional elements are intended to implement the processes to ensure the production of products, manage flows, and / or provide services, etc. The functional elements are, for example, supervisory systems 12, controllers 14, and / or remote monitoring and data acquisition systems 16 (generally designated by the acronym "SCADA" for "supervisory control and data acquisition") . The computer system further comprises a communication network 18, for example an "Ethernet" type network, to enable the exchange of information between the functional elements of the industrial infrastructure. The computer system 10 further comprises processing means 20, for example computer equipment, storage means and servers, for executing the software necessary for the tasks of interconnection, control and automation of the management. The computer system also includes a protection module 22, and a security center 24.

La figure 2 illustre, par un schéma bloc, le module de protection 22 selon un mode de réalisation de l'invention. Le module de protection 22 comporte une interface d'entrée 30, pour permettre la collecte d'informations sur le système informatique 10 et sur les éléments fonctionnels de l'infrastructure industrielle, en particulier des informations relatives aux systèmes de supervision 12, aux automates 14, et aux systèmes de télésurveillance et d'acquisition de données 16. L'interface d'entrée 30 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. L'interface d'entrée 30 peut aussi comporter des moyens supplémentaires de couplage à des automates ou systèmes par l'intermédiaire d'une interface dédiée utilisant un protocole de communication partagé avec ces systèmes, en particulier lorsque ces derniers ne sont pas directement couplés au système informatique 10. Le module de protection comporte une interface de sortie 32 pour permettre l'envoi d'informations au centre de sécurité 24 et au SCADA 16. L'interface de sortie 32 comprend par exemple une interface réseau apte à être couplée au réseau de communication 18. Le module de protection 22 comporte un module de collecte 34 d'informations, couplé à l'interface d'entrée 34. Le module de collecte 34 est configuré de manière à obtenir des informations de comportement relatives à l'état et au comportement en fonctionnement des éléments fonctionnels de l'infrastructure industrielle, ainsi que des informations système relatives au système informatique 10 et au réseau de communication 18. Les informations système relatives au système informatique 10 et au réseau de communication 18 peuvent notamment comporter: FIG. 2 illustrates, by a block diagram, the protection module 22 according to one embodiment of the invention. The protection module 22 comprises an input interface 30, to enable the collection of information on the computer system 10 and on the functional elements of the industrial infrastructure, in particular information relating to the supervisory systems 12, to the controllers 14 , and remote monitoring and data acquisition systems 16. The input interface 30 comprises for example a network interface capable of being coupled to the communication network 18. The input interface 30 may also comprise additional means coupling to automata or systems via a dedicated interface using a shared communication protocol with these systems, in particular when they are not directly coupled to the computer system 10. The protection module includes an output interface 32 to enable the sending of information to the security center 24 and the SCADA 16. The output interface 32 includes p For example, a network interface capable of being coupled to the communication network 18. The protection module 22 comprises a module of gathering information 34, coupled to the input interface 34. The collection module 34 is configured to obtain behavior information relating to the state and the operating behavior of the functional elements of the industrial infrastructure, as well as system information relating to the computer system 10 and the communication network 18. The system information relating to the computer system 10 and the communication network 18 may in particular comprise:

• des informations relatives à la charge, au flux et au trafic des données; • information on data load, flow and traffic;

• des données relatives à la topographie du réseau de communication 18, comme des listes de sous-réseaux, les adresses des membres du réseau, les numéros de ports utilisés, les protocoles utilisés. Data relating to the topography of the communication network 18, such as lists of subnetworks, the addresses of the members of the network, the port numbers used, the protocols used.

Les données relatives à une topographie d'un réseau de communication du système informatique peuvent comprendre des données relatives à la configuration des échanges entre les éléments fonctionnels du système, en particulier à la configuration des échanges au niveau applicatif. A titre d'exemple un mode de configuration basique pour un protocole simple de type Modbus comprend une liste d'adresse avec le type de données de contenu. The data relating to a topography of a communication network of the computer system can comprise data relating to the configuration of the exchanges between the functional elements of the system, in particular to the configuration of exchanges at the application level. For example, a basic configuration mode for a simple Modbus type protocol includes an address list with the content data type.

Les informations de comportement peuvent notamment comporter des informations relatives: The behavior information may include information relating to:

• aux caractéristiques des éléments fonctionnels, par exemple leur état de fonctionnement - en service/hors service, en phase d'initialisation, en maintenance, en mode dégradé — , les ressources utilisées, les tâches actives, les processus, des informations journalisées («log» en anglais); • the characteristics of the functional elements, eg their operating status - in-service / out-of-service, initialization phase, maintenance, degraded mode - resources used, active tasks, processes, logged information (" log "in English);

• aux événements survenant lors de l'exécution des processus, tels que la réception de commandes ou l'activation d'une information particulière; • events occurring during the execution of processes, such as the receipt of orders or the activation of particular information;

« à l'état et aux caractéristiques de l'architecture et de la topologie de l'infrastructure industrielle, par exemple l'activation d'équipements redondants, la présence ou l'absence d'un ou plusieurs équipements, l'état d'activation de modes particuliers comme des modes isolés; "The state and characteristics of the architecture and topology of the industrial infrastructure, for example the activation of redundant equipment, the presence or absence of one or more equipment, the state of activation of particular modes as isolated modes;

• aux opérateurs/utilisateurs, par exemple la liste des opérateurs/utilisateurs, les sessions ouvertes, les droits et autorisations des opérateurs/utilisateurs, les équipements employés par les utilisateurs; • operators / users, for example the list of operators / users, open sessions, rights and permissions of operators / users, equipment used by users;

• aux processus mis en œuvre par les éléments fonctionnels, par exemple des mesures et/ou informations physiques relatives aux processus. • the processes implemented by the functional elements, for example measurements and / or physical information relating to the processes.

Le module de protection 22 comporte un module d'apprentissage 36 configuré pour identifier un ensemble d'états de référence du système informatique 10 et des éléments fonctionnels, au cours d'une phase d'étude. Pour cela, il est par exemple possible d'utiliser les informations système et de comportements collectés. Chaque état de référence est par exemple fonction des activités du système informatique 10 et/ou des éléments fonctionnels, et d'un contexte d'exploitation. A chaque état de référence est associé des informations de référence de comportement et des informations de référence systèmes. The protection module 22 comprises a learning module 36 configured to identify a set of reference states of the computer system 10 and the functional elements, during a study phase. For that, it is by possible example to use the system information and behaviors collected. Each reference state is, for example, a function of the activities of the computer system 10 and / or of the functional elements, and of an operating context. Each reference state is associated with behavior reference information and system reference information.

Au cours de la phase d'étude, certains états de référence peuvent être regroupés, afin de limiter le nombre total d'états de référence, en particulier en identifiant les états de référence dominants - c'est-à-dire notamment les états de référence qui se produisent systématiquement par rapport à d'autres états de référence non dominants - et/ou en identifiant les états de référence dont l'influence sur l'infrastructure industrielle est limitée. Au cours de la phase d'analyse, lorsque des doutes existent sur l'influence effective d'un état de référence ou si l'aspect dominant est incertain, il est alors préférable de ne pas regrouper ces états de référence. During the study phase, some reference states can be grouped, in order to limit the total number of reference states, in particular by identifying the dominant reference states - that is to say in particular the states of reference. references that occur systematically in relation to other non-dominant reference states - and / or by identifying reference states whose influence on the industrial infrastructure is limited. During the analysis phase, when doubts exist about the effective influence of a reference state or if the dominant aspect is uncertain, it is then preferable not to group these reference states.

Un exemple pour un système de supervision d'un poste électrique, va maintenant être décrit. Le système de supervision comprend un dispositif de supervision PC, un terminal distant RTU, un dispositif de protection PROT et un réseau. Le dispositif de supervision PC, le terminal distant RTU, le dispositif de protection PROT peuvent être dans un état de fonctionnement fonctionnel ou non fonctionnel. Les utilisateurs du système de supervision peuvent être : un opérateur local de conduite, un opérateur de téléconduite ou un personnel de maintenance. Les fonctions principales du système de supervision sont les suivantes: An example for a monitoring system of a substation, will now be described. The supervisory system comprises a PC supervisory device, a remote RTU terminal, a PROT protection device and a network. The PC supervisory device, the RTU remote terminal, the PROT protection device may be in a functional or non-functional operating state. The users of the supervision system may be: a local operator, a telecontrol operator or a maintenance person. The main functions of the supervision system are as follows:

• le terminal distant RTU a pour fonction de piloter un automatisme (fonction ré-enclencheur); • the RTU remote terminal has the function of controlling an automation (re-engagement function);

• le dispositif de protection PROT a pour fonction d'éliminer un éventuel défaut; • the function of the PROT protection device is to eliminate a possible fault;

• le dispositif de supervision a pour fonction de permettre la mise en œuvre de commandes volontaires, si le terminal distant RTU est fonctionnel. The purpose of the supervision device is to enable the implementation of voluntary commands, if the remote terminal RTU is functional.

Au cours de l'exploitation du système de supervision, quatre séquences peuvent se présenter: During the operation of the supervision system, four sequences can occur:

• une première séquence, au cours de laquelle le système de supervision est dans un état inactif; A first sequence, during which the supervision system is in an inactive state;

• une deuxième séquence d'élimination d'un défaut; A second sequence for eliminating a defect;

• une troisième séquence de prise en compte de commandes volontaires; · une troisième séquence de ré-enclenchement. Ces séquences sont mutuellement exclusives, le système de supervision ne pouvant à un instant donné être que dans une seule de ces séquences. Typiquement, les séquences se présentent dans l'ordre suivant: deuxième séquence, troisième séquence, quatrième séquence, première séquence. • a third sequence of taking into account voluntary orders; · A third re-engagement sequence. These sequences are mutually exclusive, the supervision system being able at a given moment to be only in one of these sequences. Typically, the sequences are in the following order: second sequence, third sequence, fourth sequence, first sequence.

Pour identifier l'ensemble d'états de référence du système de supervision d'un poste électrique, au cours de la phase d'étude, le module d'apprentissage 36 est configuré pour prendre en compte les séquences d'exploitation, les modes de fonctionnement des équipements (par exemple opérationnel/non opérationnel), l'utilisation du système par un opérateur local de conduite (détecté lors de l'ouverture d'une session par ce dernier) ou par un opérateur de téléconduite (supposé actif dès que la communication avec la téléconduite est établie) ou par un personnel de maintenance (exploitant ou constructeur, détecté lors de l'ouverture d'une session par ce dernier, localement ou à distance). In order to identify the set of reference states of the supervision system of a substation, during the study phase, the learning module 36 is configured to take into account the operating sequences, the modes of operation of the equipment (for example operational / non-operational), the use of the system by a local operator (detected during the opening of a session by the latter) or by a telecontrol operator (assumed to be active as soon as the communication with the telecontrol is established) or by a maintenance staff (operator or manufacturer, detected at the time of the opening of a session by the latter, locally or remotely).

Le tableau suivant représente un exemple d'un premier sous-ensemble d'états de référence ER du système de supervision d'un poste électrique, sous une forme de matrice, en fonction des différentes séquences d'exploitation et de l'état de fonctionnement des éléments du système de supervision. The following table shows an example of a first subset of reference states ER of the supervisory system of a substation, in a matrix form, according to the different operating sequences and the operating state. elements of the supervision system.

Le tableau suivant représente un exemple d'un deuxième sous-ensemble d'états de référence ER du système de supervision d'un poste électrique, sous une forme de matrice, en fonction des différentes séquences d'exploitation et des utilisateurs ayant ouvert une session dans le système. Personne opérateur opérateur personnel de opérateur de opérateur local de télélocal de maintenance télé-conduite de conduite et conduite conduite seulement et personnel personnel de de maintenance maintenance The following table shows an example of a second subset of reference states ER of the supervisory system of a substation, in a matrix form, according to the different operating sequences and the users having logged in. in the system. Personal Operator Operator Operator Local Telelocal Operator Operator Tele-Driving Conducting and Conducting Only Conduct and Personnel Maintenance Staff Maintenance

Première ER(2-1-1) ER(2-l-2) ER(2-l-3) ER(2-l-4) ER(2-l-5) ER(2-l-6) séquence First ER (2-1-1) ER (2-l-2) ER (2-l-3) ER (2-l-4) ER (2-l-5) ER (2-l-6) sequence

Deuxième ER(2-2-l) ER(2-2-2) ER(2-2-3) ER(2-2-4) ER(2-2-5) ER(2-2-6) séquence Second ER (2-2-l) ER (2-2-2) ER (2-2-3) ER (2-2-4) ER (2-2-5) ER (2-2-6) sequence

Troisième Impossible ER(2-3-2) ER(2-3-3) ER(2-3-4) ER(2-3-5) ER(2-3-6) séquence Third Impossible ER (2-3-2) ER (2-3-3) ER (2-3-4) ER (2-3-5) ER (2-3-6) sequence

Quatrième ER(2-4-l) ER(2-4-2) ER(2-4-3) ER(2-4-4) ER(2-4-5) ER(2-4-6) séquence Fourth ER (2-4-1) ER (2-4-2) ER (2-4-3) ER (2-4-4) ER (2-4-5) ER (2-4-6) sequence

Le tableau suivant représente un exemple d'un troisième sous-ensemble d'états de référence ER du système de supervision d'un poste électrique, sous une forme de matrice, en fonction de l'état de fonctionnement des éléments du système de supervision et des utilisateurs ayant ouvert une session dans le système. The following table shows an example of a third subset of reference states ER of the supervisory system of a substation, in a matrix form, depending on the operating state of the elements of the supervision system and users logged on to the system.

personne opérateur opérateur personnel de opérateur de opérateur de télélocal de maintenance télélocal de conduite conduite seulement conduite et conduite et personnel personnel de de maintenance maintenance person operator operator telelocal operator operator personal operator telelocal driving conduct only driving and driving and personal maintenance personnel maintenance

Système Impossible ER(3-l-2) ER(3-l-3) Impossible ER(3-l-5) ER(3-l-6) fonctionnel Unable ER (3-l-2) ER (3-l-3) ER (3-l-5) ER (3-l-6) functional

Dispositif ER(3-2-l) ER(3-2-2) Impossible ER(3-2-4) ER(3-2-5) Impossible de ER (3-2-l) ER (3-2-2) ER (3-2-4) ER (3-2-5) Not Possible

supervision oversight

PC non PC no

fonctionnel functional

Terminal ER(3-3-l) ER(3-3-2) ER(3-3-3) ER(3-3-4) ER(3-3-5) ER(3-3-6) distant Terminal ER (3-3-l) ER (3-3-2) ER (3-3-3) ER (3-3-4) ER (3-3-5) ER (3-3-6) Remote

RTU non RTU no

fonctionnel functional

Dispositif ER(3-4-l) ER(3-4-2) ER(3-4-3) ER(3-4-4) ER(3-4-5) ER(3-4-6) de ER (3-4-1) ER (3-4-2) ER (3-4-3) ER (3-4-4) ER (3-4-5) ER (3-4-6)

protection protection

non no

fonctionnel functional

L'ensemble d'états de référence ER du système de supervision d'un poste électrique correspond à la matrice réunissant le premier sous-ensemble, le deuxième sous-ensemble et le troisième sous-ensemble. The set of reference states ER of the supervision system of a substation corresponds to the matrix comprising the first subset, the second subset and the third subset.

Le module d'apprentissage 36 peut en particulier être configuré pour valider, au cours d'une étape de validation, les états de référence, identifiés au cours de la phase d'étude. Pour cela, l'infrastructure industrielle est effectivement utilisée pour créer des situations aboutissant à reproduire ces états de référence. Le module d'apprentissage 36 s'assure alors que les états de référence identifiés au cours de la phase d'étude sont effectivement reproduits et correctement identifiés. L'étape de validation peut en outre être conduite lors d'essais sur une plateforme avant déploiement dans l'infrastructure industrielle site pour un nouveau système, ou en situation pour une infrastructure industrielle existante. The learning module 36 may in particular be configured to validate, during a validation step, the reference states identified during the study phase. For this, the industrial infrastructure is actually used to create situations that reproduce these reference states. The module This ensures that the reference states identified during the study phase are effectively reproduced and correctly identified. The validation step may further be conducted during trials on a platform before deployment in the industrial site infrastructure for a new system, or in situation for an existing industrial infrastructure.

Lors des phases d'étude et/ou de validation, le module d'apprentissage 36 peut mettre en œuvre des algorithmes d'intelligence artificielle, par exemple des algorithmes utilisant des réseaux de neurones, pour identifier les états de référence. During the study and / or validation phases, the learning module 36 can implement artificial intelligence algorithms, for example algorithms using neural networks, to identify the reference states.

Le module de protection 22 comporte un module d'analyse 38 configuré pour: The protection module 22 comprises an analysis module 38 configured to:

• déterminer, à partir des informations de comportement collectées, un état de référence; • determining, from the collected behavioral information, a reference state;

Ainsi le module d'analyse permet d'identifier les éventuelles déviations entre l'état de référence dans lequel les éléments fonctionnels et le système informatique sont supposés être en fonction du contexte actuel, et l'état effectivement constaté. Thus, the analysis module makes it possible to identify any deviations between the reference state in which the functional elements and the computer system are supposed to be based on the current context, and the state actually observed.

Dans un mode de réalisation, le module d'analyse 38 collecte des informations système et des informations de comportements, pour déterminer le contexte actuel dans lequel se trouve l'infrastructure industrielle. Le module d'analyse 38 cherche, dans une base de données d'analyse, l'état de référence correspondant au contexte. Puis, le module d'analyse 38 compare les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence, pour identifier les déviations. Le module d'analyse 38 peut mettre en œuvre des algorithmes d'intelligence artificielle, par exemple des algorithmes utilisant des réseaux de neurones, notamment pour comparer l'état actuel à l'état de référence. In one embodiment, the analysis module 38 collects system information and behavior information to determine the current context in which the industrial infrastructure is located. The analysis module 38 seeks, in an analysis database, the reference state corresponding to the context. Then, the analysis module 38 compares the behavior information and the collected system information and on the other hand behavior reference information and reference system information associated with the reference state, to identify the deviations. The analysis module 38 can implement artificial intelligence algorithms, for example algorithms using neural networks, especially for comparing the current state to the reference state.

Le module d'analyse 38 peut également comprendre un mode d'entraînement et un mode automatique. En mode entraînement, lorsqu'une déviation est constatée, le module d'analyse 38 est programmé de sorte à demander si la déviation est effectivement une anomalie à traiter ou si la déviation correspond à une dérive normale de l'infrastructure industrielle. Si la déviation n'est pas une anomalie, mais une dérive normale, la base de données d'analyse est mise à jour. Dans un mode de réalisation, le module d'analyse 38 comporte une interface utilisateur adaptée pour afficher la déviation constatée et pour permettre à un opérateur d'indiquer s'il s'agit d'une anomalie ou une dérive normale. Le mode d'étude permet le réglage du module d'analyse 38, en particulier au cours du temps, pour pouvoir prendre en compte les évolutions et mises à jour. En mode automatique, lorsqu'une déviation est identifiée, une alerte est transmise au module de réaction 40. Comme illustré sur la figure 3, le module de réaction 40 comporte un module de recherche de réalité 42, un module d'alerte 44, un module de mise en sécurité 46. The analysis module 38 may also include a training mode and an automatic mode. In drive mode, when a deviation is noted, the analysis module 38 is programmed to ask if the deviation is indeed an anomaly to be treated or if the deviation corresponds to a normal drift of the industrial infrastructure. If the deviation is not an anomaly, but a normal drift, the analysis database is updated. In a mode embodiment, the analysis module 38 includes a user interface adapted to display the detected deviation and to allow an operator to indicate whether it is an anomaly or a normal drift. The study mode allows the adjustment of the analysis module 38, especially over time, to take into account the changes and updates. In automatic mode, when a deviation is identified, an alert is transmitted to the reaction module 40. As illustrated in FIG. 3, the reaction module 40 comprises a reality search module 42, an alert module 44, security module 46.

Lorsqu'une alerte est reçue du module d'analyse 38, le module de recherche de réalité cherche à déterminer si la déviation constatée correspond à une anomalie réelle. En particulier, le module de recherche de réalité peut s'assurer de l'existence d'un problème au niveau des processus mis en œuvre par les éléments fonctionnels (surtension, débit nul ou trop important, vitesse hors gamme, etc.). Le module de recherche de la réalité peut encore vérifier si les informations de comportement reçues correspondent à celles utilisées par les éléments fonctionnels (la valeur d'une tension barre reçue par le module de protection 22 est-elle sensiblement égale à celle reçue par l'élément fonctionnel correspondant?). Pour procéder à ces vérifications, le module de recherche de réalité peut en particulier comparer les informations de comportement relatives aux caractéristiques des éléments fonctionnels, et les informations relatives aux processus mis en œuvre par les éléments fonctionnels. Grâce à ces vérifications, le module de recherche de réalité peut s'assurer de la survenance d'une anomalie réelle, et éventuellement déterminer un niveau de gravité. When an alert is received from the analysis module 38, the reality search module seeks to determine whether the detected deviation corresponds to an actual anomaly. In particular, the reality search module can make sure of the existence of a problem in the processes implemented by the functional elements (overvoltage, zero or too high flow rate, out-of-range speed, etc.). The reality search module can further verify whether the behavior information received corresponds to that used by the functional elements (is the value of a bar voltage received by the protection module 22 substantially equal to that received by the module? corresponding functional element?). To carry out these verifications, the reality search module can in particular compare the behavioral information relating to the characteristics of the functional elements, and the information relating to the processes implemented by the functional elements. Through these verifications, the reality search module can check for the occurrence of a real anomaly, and possibly determine a severity level.

Lorsqu'une anomalie réelle a été constatée par le module de recherche de réalité, le module d'alerte est configuré pour envoyer, par l'intermédiaire de l'interface de sortie 32, un message d'alerte comportant des informations sur l'anomalie constatée, en particulier les déviations constatées et le niveau de gravité estimé. Le message d'alerte est par exemple transmis au centre de sécurité 24 pour permettre à des opérateurs, des exploitants et/ou des personnels en charge de la sécurité informatique de prendre des dispositions d'urgence ou de déclencher des procédures de sauvegarde ou de mise en sécurité. Le message d'alerte peut aussi comporter des recommandations sur les actions à entreprendre en réaction à l'anomalie constatée. When a real anomaly has been detected by the reality search module, the alert module is configured to send, via the output interface 32, an alert message including information about the anomaly. observed, in particular the observed deviations and the estimated level of severity. The alert message is for example transmitted to the security center 24 to allow operators, operators and / or personnel in charge of computer security to take emergency measures or to trigger backup or release procedures. safe. The alert message may also include recommendations on the actions to be taken in response to the anomaly found.

Lorsqu'une anomalie réelle a été constatée par le module de recherche de réalité, le module de mise en sécurité est configuré pour tenter de mettre fin à l'anomalie, et/ou de réduire sensiblement ou supprimer ces effets. Le module de mise en sécurité peut par exemple être configuré de sorte à: • effectuer un repli des processus mis en œuvre par les éléments fonctionnels concernés par l'anomalie; le repli correspond à des procédures existantes et normales, pour arrêter les équipements ou les mettre dans un mode dans lequel l'anomalie constatée ne peut engendrer de dommages; When a real anomaly has been detected by the reality search module, the security module is configured to attempt to terminate the anomaly, and / or substantially reduce or eliminate these effects. The security module can for example be configured to: • perform a retreat of the processes implemented by the functional elements concerned by the anomaly; the fallback corresponds to existing and normal procedures, to stop the equipment or to put it in a mode in which the abnormality can not cause damage;

· ordonner un redémarrage des éléments fonctionnels concernés par l'anomalie, en particulier pour les éléments fonctionnels pilotés par un programme chargé au démarrage depuis une mémoire en lecture seule non réinscriptible. · Order a restart of the functional elements concerned by the anomaly, in particular for the functional elements controlled by a program loaded at startup from a non-rewritable read-only memory.

La figure 4 est un diagramme de séquence d'un procédé selon un mode de réalisation de l'invention. Le procédé permet de détecter des anomalies du système informatique déployé dans l'infrastructure industrielle. Le procédé comporte les étapes suivantes: Figure 4 is a sequence diagram of a method according to an embodiment of the invention. The method detects anomalies in the computer system deployed in the industrial infrastructure. The method comprises the following steps:

• une étape 110 de collecte d'informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que d'informations système relatives au système informatique; A step 110 of collecting behavior information relating to the state and the behavior of the functional elements as well as system information relating to the computer system;

· une étape 120 de détermination d'un état de référence à partir des informations de comportement; A step 120 of determining a reference state from the behavior information;

• une étape 130 d'identification d'une déviation entre d'une part les informations de comportement et les informations système et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence. A step 130 of identifying a deviation between, on the one hand, the behavior information and the system information and, on the other hand, behavior reference information and system reference information associated with the reference state.

Au cours de l'étape 130 d'identification de la déviation, il peut être vérifié, dans une étape 140, si la déviation identifiée correspond à une dérive acceptable: le cas échéant, les informations de référence de comportement et les informations de référence systèmes associées à l'état de référence sont mises à jour de sorte à prendre en compte cette déviation. During the step 130 of identifying the deviation, it can be verified, in a step 140, if the identified deviation corresponds to an acceptable drift: where appropriate, the behavior reference information and the system reference information. associated with the reference state are updated to take this deviation into account.

Le procédé peut encore comporter une étape 150 de transmission d'une alerte comportant des informations relatives à la déviation identifiée. Dans un mode de réalisation, l'étape 150 de transmission de l'alerte est mise en œuvre seulement si, au cours d'une étape de vérification il a été établi que la déviation identifiée correspond à une anomalie en: The method may further comprise a step 150 of transmitting an alert comprising information relating to the identified deviation. In one embodiment, step 150 of transmitting the alert is implemented only if, during a verification step, it has been established that the identified deviation corresponds to an anomaly in:

• comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins un autre fournisseur d'informations. Le procédé peut aussi comporter une étape 160 de mise en sécurité, au cours de laquelle est transmise: Comparing the collected behavioral information to behavioral information relating to the functional elements obtained from at least one other information provider. The method may also comprise a step 160 of setting in security, during which is transmitted:

Claims

REVENDICATIONS

1. Module de protection (22), pour détecter des anomalies dans un système informatique (10) déployé dans une infrastructure industrielle, l'infrastructure industrielle comportant des éléments fonctionnels (12, 14, 16) destinés à mettre en œuvre des processus, caractérisé en ce qu'il comporte: A protection module (22) for detecting anomalies in a computer system (10) deployed in an industrial infrastructure, the industrial infrastructure comprising functional elements (12, 14, 16) for implementing processes, characterized in that it comprises:

• une interface d'entrée (30) adaptée à être couplée au système informatique (10); An input interface (30) adapted to be coupled to the computer system (10);

• un module de collecte (34), couplé à l'interface d'entrée, et configuré pour collecter des informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que des informations système relatives au système informatique; A collection module (34), coupled to the input interface, and configured to collect behavior information relating to the state and behavior of the functional elements as well as system information relating to the computer system;

• un module d'analyse (38), couplé au module de collecte, et configuré pour: An analysis module (38), coupled to the collection module, and configured to:

• déterminer, à partir des informations de comportement, un état de référence; • determining, from the behavior information, a reference state;

2. Module de protection selon la revendication 1, dans lequel les informations système collectées par le module de collecte (34) comprennent au moins l'une des informations suivantes: The protection module according to claim 1, wherein the system information collected by the collection module (34) comprises at least one of the following information:

· une information relative à une topographie d'un réseau de communication (18) du système informatique (10). · Information relating to a topography of a communication network (18) of the computer system (10).

3. Module de protection selon l'une quelconque des revendications 1 à 2, dans lequel les informations de comportement collectées par le module de collecte (34) comprennent au moins l'une des informations suivantes: The protection module according to any one of claims 1 to 2, wherein the behavior information collected by the collection module (34) comprises at least one of the following information:

· une information relative à un état de fonctionnement et/ou à des ressources utilisées, pour un des éléments fonctionnels; · Information relating to a state of operation and / or resources used for one of the functional elements;

• une information relative à un événement survenant lors de l'exécution des processus; • information relating to an event occurring during the execution of the processes;

• une information relative à un état et/ou à des caractéristiques de l'infrastructure industrielle; • information relating to a condition and / or characteristics of the industrial infrastructure;

• une information relative à un utilisateur ou à un opérateur; • une information relative à un des processus mis en œuvre par les éléments fonctionnels ; • information about a user or an operator; • information relating to one of the processes implemented by the functional elements;

• une information relative à l'exécution des fonctions du système informatique. • information relating to the execution of the functions of the computer system.

4. Module de protection selon l'une quelconque des revendications 4. Protection module according to any one of the claims

1 à 3, comportant en outre un module d'apprentissage (36), couplé au module de collecte, et configuré pour, au cours d'une phase d'étude: 1 to 3, further comprising a learning module (36), coupled to the collection module, and configured for, during a study phase:

• déterminer un état actuel à partir des informations de comportement; • determine a current state from the behavior information;

• enregistrer, dans un ensemble d'états de référence, l'état actuel ainsi qu'au moins une partie des informations de comportement et des informations de systèmes collectés. And recording, in a set of reference states, the current state as well as at least a portion of the behavioral information and collected system information.

5. Module de protection selon l'une quelconque des revendications précédentes, dans lequel le module d'analyse (38) est configuré pour vérifier si la déviation identifiée correspond à une dérive acceptable, et le cas échéant, pour mettre à jour les informations de référence de comportement et les informations de référence systèmes associés à l'état de référence, de sorte à prendre en compte cette déviation. The protection module according to any one of the preceding claims, wherein the analysis module (38) is configured to check whether the identified deviation corresponds to an acceptable drift, and if necessary, to update the information of Behavioral reference and reference information systems associated with the reference state, so as to take into account this deviation.

6. Module de protection selon l'une quelconque des revendications précédentes, comportant en outre une interface de sortie (32) et un module de réaction (40) couplé à l'interface de sortie et au module d'analyse (38), le module d'analyse (38) étant configuré pour transmettre la déviation identifiée au module de réaction, le module de réaction étant configuré pour transmettre, par l'intermédiaire de l'interface de sortie (32), une alerte comportant des informations relatives à la déviation identifiée. The protection module according to any one of the preceding claims, further comprising an output interface (32) and a feedback module (40) coupled to the output interface and the analysis module (38), the an analysis module (38) being configured to transmit the identified deviation to the reaction module, the reaction module being configured to transmit, via the output interface (32), an alert comprising information relating to the identified deviation.

7. Module de protection selon la revendication 6, dans lequel le module de réaction comporte un module de recherche de réalité (42), le module de recherche de réalité (42) étant configuré de sorte à autoriser l'envoi de l'alerte seulement après avoir vérifié si la déviation identifiée correspond à une anomalie en: The protection module according to claim 6, wherein the reaction module comprises a reality search module (42), the reality search module (42) being configured to allow the sending of the alert only. after verifying that the deviation identified corresponds to an anomaly in:

· comparant les informations de comportement collectées, à des informations de comportement relatives aux éléments fonctionnels obtenues d'au moins un autre fournisseur d'informations. Comparing the collected behavioral information to behavioral information relating to the functional elements obtained from at least one other information provider.

8. Module de protection selon l'une quelconque des revendications 6 à 7, dans lequel le module de réaction comporte un module de mise en sécurité (46), le module de mise en sécurité (46) étant configuré, lorsque l'alerte a été émise, de sorte à transmettre: • une demande de repli des processus mis en œuvres par les éléments fonctionnels concernés par la déviation, pour arrêter lesdits éléments fonctionnels ou les mettre dans un mode dans lequel la déviation identifiée ne peut engendrer de dommages; et/ou, 8. Protection module according to any one of claims 6 to 7, wherein the reaction module comprises a security module (46), the security module (46) being configured, when the alert has been issued, so as to convey: • a request for withdrawal of the processes implemented by the functional elements concerned by the deviation, to stop said functional elements or put them in a mode in which the identified deviation can not cause damage; and or,

· une de demande de redémarrage des éléments fonctionnels concernés par la déviation. · A request to restart the functional elements concerned by the deviation.

9. Procédé de protection pour détecter des anomalies dans un système informatique (10) déployé dans une infrastructure industrielle, l'infrastructure industrielle comportant des éléments fonctionnels (12, 14, 16) destinés à mettre en œuvre des processus, caractérisé en ce qu'il comporte les étapes suivantes: A protection method for detecting anomalies in a computer system (10) deployed in an industrial infrastructure, the industrial infrastructure comprising functional elements (12, 14, 16) for implementing processes, characterized in that it comprises the following steps:

• une étape de collecte (110) d'informations de comportement relatives à l'état et au comportement des éléments fonctionnels ainsi que d'informations système relatives au système informatique; A step of collecting (110) behavior information relating to the state and the behavior of the functional elements as well as system information relating to the computer system;

• une étape de détermination d'un état de référence (120) à partir des informations de comportement; A step of determining a reference state (120) from the behavior information;

• une étape d'identification (130) d'une déviation entre d'une part les informations de comportement et les informations système collectées et d'autre part des informations de référence de comportement et des informations de référence systèmes associés à l'état de référence. A step of identifying (130) a deviation between the behavior information and the collected system information on the one hand and the behavioral reference information and system reference information associated with the health state on the other hand; reference.

10. Procédé selon la revendication 9, dans lequel, au cours de l'étape d'identification (130) de la déviation, il est vérifié si la déviation identifiée correspond à une dérive acceptable ; le cas échéant, les informations de référence de comportement et les informations de référence systèmes associées à l'état de référence sont mises à jour de sorte à prendre en compte cette déviation. The method of claim 9, wherein, during the step of identifying (130) the deviation, it is checked whether the identified deviation corresponds to an acceptable drift; if applicable, the behavior reference information and reference system information associated with the reference state are updated to take this deviation into account.

11. Procédé selon l'une quelconque des revendications 9 à 10, comportant en outre une étape de transmission d'une alerte (150) comportant des informations relatives à la déviation identifiée. The method of any one of claims 9 to 10, further comprising a step of transmitting an alert (150) including information relating to the identified deviation.

12. Procédé selon la revendication 11 , dans lequel l'étape de transmission de l'alerte (150) est mise en œuvre seulement si, au cours d'une étape de vérification (140) il a été établi que la déviation identifiée correspond à une anomalie en: The method of claim 11, wherein the step of transmitting the alert (150) is implemented only if, during a verification step (140), it has been established that the identified deviation corresponds to an anomaly in:

13. Procédé selon la revendication 11 ou 12, comportant une étape de mise en sécurité (160) suite l'émission de l'alerte, au cours de laquelle est transmise: 13. The method of claim 11 or 12, comprising a step of setting security (160) following the emission of the alert, during which is transmitted:

• une de demande de redémarrage des éléments fonctionnels concernés par la déviation. • a request to restart the functional elements concerned by the deviation.

14. Programme d'ordinateur comportant des instructions pour l'exécution des étapes du procédé selon l'une quelconque des revendications 9 à 13, lorsque ledit programme est exécuté par un processeur. 14. A computer program comprising instructions for executing the steps of the method according to any of claims 9 to 13, when said program is executed by a processor.

15. Support d'enregistrement lisible par un ordinateur sur lequel est enregistré un programme d'ordinateur comprenant des instructions pour l'exécution des étapes du procédé selon l'une quelconque des revendications 9 à 13. 15. A computer-readable recording medium on which is recorded a computer program comprising instructions for performing the steps of the method according to any one of claims 9 to 13.