Soutenance de thèse - Ahmed ELMARKEZ

Soutenance de thèse - Ahmed ELMARKEZAhmed ELMARKEZ, en vue de l’obtention du grade de Docteur en Sciences et Technologies de l'Information et de la Communication, spécialité « Informatique et Architectures Numériques », présentera ses travaux intitulés : « ICS-Dev-Sec : une méthodologie de sécurité dès la conception fondée sur l’ingénierie dirigée par les modèles pour le développement de systèmes de contrôle industriel sécurisés », le 14 novembre à Vannes.

Date 14/11

Résumé

ICS-Dev-Sec : une méthodologie de sécurité dès la conception fondée sur l’ingénierie dirigée par les modèles pour le développement de systèmes de contrôle industriel sécurisés.

Les systèmes de contrôle industriel (ICS) ont évolué vers des systèmes cyber-physiques (CPS), ce qui a accru leur exposition aux cybermenaces. Les défenses réactives étant souvent insuffisantes, un paradigme proactif de sécurité dès la conception est requis. Cette thèse propose une approche de sécurité dès la conception intégrant la norme ISA/IEC 62443 dans le processus RFLP (Requirement, Functional, Logical, Physical), en se concentrant sur les phases fonctionnelle et logique. Deux flots complémentaires sont définis : (i) ICS-Fun-Sec, dédié à la phase fonctionnelle, automatise la segmentation, attribue des niveaux de sécurité et identifie les fonctions nécessaires. Il repose sur un langage spécifique au domaine (DSL) et un processus de transformations de modèles. Le DSL formalise les concepts architecturaux et de sécurité via deux métamodèles, l’un fonctionnel et l’autre de sécurité, favorisant la collaboration entre architectes système et experts sécurité tout en assurant la cohérence dans un cadre unifié. Les transformations convertissent les architectures fonctionnelles conformes au métamodèle fonctionnel en architectures sécurisées conformes au métamodèle de sécurité. (ii) ICS-Log-Sec agit au niveau logique, détectant les faiblesses architecturales et recommandant des contre-mesures adaptées. Il s’appuie aussi sur un DSL étendu et des règles de transformations intégrant les concepts de la phase logique. La validation par études de cas a confirmé la précision de la segmentation et de l’identification des fonctions de sécurité. Les flots, le DSL ainsi que les transformations de modèles ont été systématiquement évalués pour garantir leur validation.

Mot clés :  Système industriel de contrôle, Sécurité dès la conception, Ingénierie basée sur les modèles, Ingénierie dirigée par les modèles, ISA/IEC 62443, Processus RFLP

Abstract

ICS-Dev-Sec: A Security-by-Design Methodology based on Model-Driven Technology for the Development of Secure Industrial Control Systems.

In recent years, Industrial Control Systems (ICS) have evolved into Cyber-Physical Systems (CPS), which has increased their exposure to advanced cyber threats. As reactive defenses often prove insufficient, a proactive security-by-design paradigm is required to address such risks effectively. This thesis proposes a model-based security-by-design methodology that integrates ISA/IEC 62443 into the Requirement, Functional, Logical, and Physical (RFLP) development process, with emphasis on the Functional and Logical phases. Two complementary workflows are defined: (i) ICS-Fun-Sec supports the functional phase by automating segmentation, assigning security levels, and identifying required security functions. It relies on a Domain-Specific Language (DSL) and a model transformation process. The DSL captures architectural and security concepts via functional and security metamodels, enabling collaboration between system architects and security experts while ensuring coherence within a unified framework. Model transformations enable functional architectures conforming to the functional metamodel to be systematically converted into secure architectures conforming to the security metamodel. (ii) ICS-Log-Sec operates at the logical level, detecting architectural weaknesses and recommending appropriate countermeasures. It is likewise supported by an extended DSL and model transformation rules that integrate logical concepts. Validation through case studies confirmed the accuracy of segmentation and security function identification. The workflows, the DSL and the model transformations were systematically assessed to ensure their validity.

Keywords: Industrial Control System, Security-by-Design, Model-Based Engineering, Model-Driven Engineering, ISA/IEC 62443, RFLP Process

Membres du jury

• Pr Brahim HAMID, rapporteur, Professeur des Universités, Université de Toulouse Jean Jaurès, IRIT CNRS UMR 5505
• Dr Stéphane MOCANU, rapporteur, Maître de Conférences HDR, UGA INP Grenoble, Ense³, LIG CNRS UMR 5217
• Pr Flavio OQUENDO, directeur de thèse, Professeur des Universités Émérite, Université Bretagne Sud, IRISA CNRS UMR 6074
• Pr Pascal BERRUET, co-directeur de thèse, Professeur des Universités, Université Bretagne Sud, Lab-STICC CNRS UMR 6285
• Dr Soraya MESLI KESRAOUI, co-encadrante de thèse, SEGULA Technologies
• Pr Khalil DRIRA, examinateur, Directeur de Recherche CNRS, LAAS-CNRS, CNRS UPR 8001
• Dr Jamal EL HACHEM, examinatrice, Maître de Conférences,,Université Bretagne Sud, IRISA CNRS UMR 6074
• Pr Éric ZAMAÏ, examinateur, Professeur des Universités, INSA Lyon, AMPERE CNRS UMR 5005

Les travaux sont dirigés par Flavio Oquendo et Pascal Berruet

École doctorale MathSTIC Bretagne Océane N°644

Thèse CIFRE N°2022-0946 en partenariat avec SEGULA Technologies

Informations pratiques

Vendredi 14 novembre à 10h

Amphithéâtre ENSIBS

École d'Ingénieur (ENSIBS)

Vannes

Crédit photographique : ©Université Bretagne Sud. Service Communication