Chapitre 3 : Fondations préalables à notre méthodologie d’ingénierie avancée
3.2. Fondements et Métriques de la Résilience des systèmes d’information
Dans cette section, nous présentons les principales caractéristiques de la résilience et les indicateurs de mesure de sa qualité.
3.2.1 Fondements et concepts de la résilience
La résilience est un concept du monde réel qui est utilisé dans plusieurs domaines. Ramenée aux systèmes d’information, la résilience est une préoccupation majeure de nos jours, afin de prévenir un incident et plus encore pour restaurer un état stable après un accident ou une faute intentionnelle [Laprie, 2008], [ReSIST, 2016]. En rapport à la préoccupation de l'accident [Hollnagel, 2006], la résilience est appliquée dans de nombreux domaines tels que l'ingénierie des systèmes sociotechniques.
En écologie, la résilience est la capacité d'un écosystème ou d'une espèce à récupérer un fonctionnement et/ou un développement normal après avoir subi un traumatisme. En économie, la résilience est la capacité à revenir sur la trajectoire de croissance après avoir encaissé un choc. En psychologie, « la résilience est la capacité d’une personne ou d’un groupe à bien se développer, à continuer à se projeter dans l’avenir, en dépit d’événements déstabilisants, de conditions de vie difficiles, de traumatismes parfois sévères » [Ruault et al., 2009], [Manciaux et al., 2001].
Luzeaux a écrit que « la résilience est obtenue grâce à la capacité de surveiller les conditions aux limites de l'enveloppe de performance et à la capacité d'adapter le comportement opérationnel du système aux développements potentiels de cette enveloppe » [Luzeaux, 2011]. En d’autres termes, être résilient, c’est « rebondir pour retrouver son équilibre », c’est la poursuite de la viabilité, au mépris éventuel des performances. Afin d’éviter toute confusion, nous précisons que la robustesse est la capacité de pouvoir maintenir le niveau de performance alors que les conditions exogènes ont un peu changé.
La résilience est considérée comme une vertu active intégrée dans tous les systèmes et opérations actuels, notamment dans le domaine de la défense [Palin, 2013]. Aujourd'hui, les stratégies géopolitiques et économiques intègrent simultanément les cinq axes d'influence (Cyber, Espace, Air, Maritime et Terre), pour réaliser les activités et opérations de Prévention, Protection, Atténuation, Réponse, Rétablissement, Correction et Sauvetage. La protection de
l'infrastructure et la continuité fonctionnelle sont alignées pour rendre une vertu active intégrée, c’est-à-dire la résilience. La vertu est définie comme « la capacité de prendre des mesures appropriées et correctes qui profitent à la fois l'acteur et les autres », par le philosophe Romain Lucius Annaeus Seneca [Stanford Encyclopedia of Philosophy, 2016]. Nous inspirant de Laprie [Laprie, 2008], nous conclurions par la définition de la résilience des systèmes d’information en précisant qu’il s’agit de la capacité du système d’information à garantir la persistance d’un niveau acceptable de services fournis, avec une confiance justifiable, et ce même face à une attaque, une défaillance, ou une perturbation quelle qu’elle soit (faute, erreur, …). Un système résilient doit être doté des fonctions de résilience.
3.2.2 Fonctions de résilience
Luzeaux a défini quatre fonctions de la résilience, qui sont « l'évitement (capacité d'anticipation), la résistance (la capacité d'absorption), l'adaptation (la capacité de reconfiguration) et la récupération (ou le recouvrement est la capacité de restauration) » [Luzeaux, 2011].
Woods [Woods, 2015] a défini quatre principaux axes sous le concept de la résilience : - rebond (suite à des événements perturbateurs ou traumatiques, les systèmes rebondissent et
retournent à des activités antérieures ou normales) ;
- robustesse (malgré les événements perturbateurs ou traumatiques, les systèmes maintiennent la qualité et la performance antérieures ou normales de leurs activités) ; - extensibilité gracieuse (à la survenance des évènements fragilisant ou éprouvant les limites
des systèmes, ces derniers étendent leur performance ou bien apportent une capacité d'adaptation supplémentaire pour surmonter les évènements) ;
- l'adaptabilité durable (au fur et à mesure que les conditions évoluent en bien ou en mal au fil du temps, les règles de gouvernance soutiennent la capacité des systèmes à continuer à bien fonctionner et à éviter de tomber dans des pièges du business ou autres).
Woods a indiqué avoir défini ces quatre concepts en vue d’une ingénierie éventuelle de la résilience dans les systèmes et réseaux dans le futur.
Les travaux de thèse de Jean-René Ruault portent sur la résilience et ses fonctions, tout en proposant une architecture, ainsi qu'un processus à mettre en œuvre pour contribuer à la résilience (dans le cas d’un système critique à longue durée de vie) [Ruault, 2015].
3.2.3 Métriques de la résilience
Khan et ses collègues [Khan et al., 2015] ont identifié trois catégories de métriques de la résilience qui sont de nature Proactive, Résistive et Réactive respectivement. La première catégorie mesure la résilience des systèmes d’information de façon proactive. Se basant sur les informations disponibles au sujet des scénarios d’attaques possibles et des capacités des attaquants, les systèmes d’information peuvent être résilients de façon proactive, d’une telle sorte que les attaques ne puissent causer aucun dommage. Selon les auteurs, la résilience proactive est habituellement obtenue par la tromperie et la dissuasion. La deuxième catégorie de métriques se réfère à la capacité des systèmes d’information à résister à une attaque en cours. La troisième catégorie de métriques se réfère aux situations dans lesquelles l’attaque ou le dommage est déjà causé, ainsi l’objectif se recentre sur les services devant être fournis par le système d’information. Les auteurs ont proposé un cadre de l’ingénierie de la cyber-résilience qui prend en compte quatre concepts : le modèle représentatif d’un réseau logique ou physique ; les attaques et propriétés caractérisant le réseau ; les métriques de résilience pour mesurer la résilience du réseau de façon proactive, résistive et réactive ; l'axe de résilience pour indexer la capacité du modèle de réseau à résister aux attaques ou aux propriétés. Le quatrième concept est la valeur résultante du calcul, dont les trois premiers concepts sont les entrées.
Ouedraogo et ses collègues [Ouedraogo et al., 2013] ont travaillé sur les métriques de la résilience, en proposant une architecture fonctionnelle d’apprentissage à partir des indicateurs de résilience et leurs évolutions. Les auteurs présentent différentes mesures de la résilience au regard des niveaux de services rendus et au regard des délais de recouvrement suite à chaque perturbation. Les auteurs ont également rappelé les travaux de Wang et de ses collègues [Wang et al., 2010] spécifiques aux systèmes d’information, prenant en compte l’importance de chaque fonction assurée par le système d’information, la durée de recouvrement prévue dans les exigences de QoS (Quality of Services) au regard de la durée réellement nécessaire pour recouvrer chaque fonction. Ouedraogo et ses collègues ont rappelé aussi les travaux de Pérez-Espana et Sanchez [Pérez-Pérez-Espana et Sanchez, 2001] sur la résilience des systèmes écologiques et qui portent sur l'opposé de la tangente du rapport entre la résistance et le temps de récupération d'une perturbation.
De cela, que dirait-on de la résilience d’un système qui a subi un évènement perturbateur et qui s’est vite recouvré pour fournir les services avec respect des termes de qualité de services, par
rapport à un système qui a subi un grand nombre d’évènements perturbateurs et qui s’est comporté aussi bien que le précédent système affecté par un seul évènement, fournissant les services avec respect des termes de qualité de services (QoS) ? Quelle réponse aurait-on donnée si le deuxième système s’était recouvré plus lentement que le premier ou s’il n’avait pu se recouvrer à temps afin d’honorer ses exigences à fournir les services avec respect des termes de QoS ? Le débat au sujet des métriques de la résilience porterait-il sur le volet nombre d’évènements perturbateurs ou bien sur le volet respect des exigences de QoS ? Dans le cadre du domaine cyber, plus spécialement les systèmes d’information des entreprises et organisations pour ce qui nous concerne, la recherche et les métriques de la résilience devraient être portées à minima sur les deux volets de façon simultanée. Il serait plus objectif, plutôt réaliste, de considérer à la fois, les évènements perturbateurs (leurs natures, nombres, intensités, fréquences, période de continuité), la vitesse de recouvrement, les impacts sur les exigences de QoS. Voilà l’une de nos motivations à traiter la résilience et la sécurité de façon conjointe dans les systèmes d’information des entreprises et organisations. Nous revenons plus en détail sur ces aspects dans le chapitre de proposition (analyse conjointe, section 4.3 du chapitre suivant).