Auteur : Hussein ABDO
Directeur de thèse : Jean Marie FLAUS
Co Encadrant : François MASSE
Date : 12 décembre 2017
Directeur de thèse : Jean Marie FLAUS
Co Encadrant : François MASSE
Date : 12 décembre 2017
Dealing with uncertainties in risk analysis:
combining safety and cybersecurity
combining safety and cybersecurity
Cette recherche vise à développer des méthodologies d'analyse d'incertitude pour traiter l'incertitude dans le processus d'analyse de risque de l’INERIS. En d'autres termes, analyser l'incertitude dans l'analyse de la probabilité, l'analyse des effets et l'étape d'identification de risques.
Dans ce travail, nous traitons les limites de l'approche semi-quantitative d'intervalle utilisé pour le calcule de probabilités des riques en introduisant la notion de nombres flous au lieu d'intervalles. Les nombres flous sont utilisés pour traiter l'incertitude dans les données d’entrée.
Une méthodologie hybride qui traite chaque cause de l'incertitude des paramètres dans l'analyse des effets avec la bonne théorie est développée. La théorie de la probabilité est utilisée pour représenter la variabilité, les nombres flous sont utilisés pour représenter l'imprécision et la théorie d’évidence est utilisée pour représenter l'ignorance, l'incomplétude ou le manque de consensus.
Une nouvelle méthodologie d'identification des risques qui considère la sûreté et la sécurité ensemble lors de l'analyse des risques industriels est développée. Cette approche combine Nœud-Papillon (BT), utilisé pour l'analyse de sûreté, avec une nouvelle version étendue de l’arbre d’attaque (AT), introduite pour l'analyse de cybersécurité des systèmes de contrôle industriel. L'utilisation combinée d'AT-BT fournit une représentation exhaustive des scénarios de risque en termes de sûreté et de cybersécurité.
Mots-clefs : sûreté, cybersecurité, analyse de risques, incertitude, nœud papillon, arbres d'attaque.
Abstract:
This research aims to develop uncertainty analysis methodologies to treat uncertainty in the INERIS risk analysis process. In other words, to analyze uncertainty in likelihood analysis, effect analysis and the risk identification step.
In this work, we propose a fuzzy semi-quantitative approach to deal with parameter uncertainty in the likelihood analysis step. We handle the limits of the interval semi-quantitative approach by introducing the concept of fuzzy numbers instead of intervals. Fuzzy numbers are used to represent subjectivity in expert judgments (qualitative data) and covers uncertainty in the quantitative data if this data exists.
A hybrid methodology that treat each cause of parameter uncertainty in effect analysis with the right theory is developed. Probability theory is used to represent variability, fuzzy numbers are used to represent imprecision and evidence theory is used to represent vagueness, incompleteness and the lack of consensus.
A new risk identification methodology that considers safety and security together during industrial risk analysis is developed. This approach combines Bow-Tie Analysis (BTA), commonly used for safety analysis, with a new extended version of Attack Tree Analysis (ATA), introduced for security analysis of industrial control systems. The combined use of AT-BT provides an exhaustive representation of risk scenarios in terms of safety and security.
Keywords: safety, cybersecurity, risk analysis, uncertainty, bow-tie analysis, attack trees.
Dans ce travail, nous traitons les limites de l'approche semi-quantitative d'intervalle utilisé pour le calcule de probabilités des riques en introduisant la notion de nombres flous au lieu d'intervalles. Les nombres flous sont utilisés pour traiter l'incertitude dans les données d’entrée.
Une méthodologie hybride qui traite chaque cause de l'incertitude des paramètres dans l'analyse des effets avec la bonne théorie est développée. La théorie de la probabilité est utilisée pour représenter la variabilité, les nombres flous sont utilisés pour représenter l'imprécision et la théorie d’évidence est utilisée pour représenter l'ignorance, l'incomplétude ou le manque de consensus.
Une nouvelle méthodologie d'identification des risques qui considère la sûreté et la sécurité ensemble lors de l'analyse des risques industriels est développée. Cette approche combine Nœud-Papillon (BT), utilisé pour l'analyse de sûreté, avec une nouvelle version étendue de l’arbre d’attaque (AT), introduite pour l'analyse de cybersécurité des systèmes de contrôle industriel. L'utilisation combinée d'AT-BT fournit une représentation exhaustive des scénarios de risque en termes de sûreté et de cybersécurité.
Mots-clefs : sûreté, cybersecurité, analyse de risques, incertitude, nœud papillon, arbres d'attaque.
Abstract:
This research aims to develop uncertainty analysis methodologies to treat uncertainty in the INERIS risk analysis process. In other words, to analyze uncertainty in likelihood analysis, effect analysis and the risk identification step.
In this work, we propose a fuzzy semi-quantitative approach to deal with parameter uncertainty in the likelihood analysis step. We handle the limits of the interval semi-quantitative approach by introducing the concept of fuzzy numbers instead of intervals. Fuzzy numbers are used to represent subjectivity in expert judgments (qualitative data) and covers uncertainty in the quantitative data if this data exists.
A hybrid methodology that treat each cause of parameter uncertainty in effect analysis with the right theory is developed. Probability theory is used to represent variability, fuzzy numbers are used to represent imprecision and evidence theory is used to represent vagueness, incompleteness and the lack of consensus.
A new risk identification methodology that considers safety and security together during industrial risk analysis is developed. This approach combines Bow-Tie Analysis (BTA), commonly used for safety analysis, with a new extended version of Attack Tree Analysis (ATA), introduced for security analysis of industrial control systems. The combined use of AT-BT provides an exhaustive representation of risk scenarios in terms of safety and security.
Keywords: safety, cybersecurity, risk analysis, uncertainty, bow-tie analysis, attack trees.