Description du projet

Contexte du projet

Le Centre de compétences pour les technologies de sécurité appliquées (KASTEL) est l'un des trois centres de compétences pour la cybersécurité en Allemagne initiés par le ministère fédéral de l'Éducation et de la Recherche (BMBF) en mars 2011. Sous la devise "Sécurité compréhensible dans le monde en réseau", KASTEL relève les défis posés par la mise en réseau progressive de systèmes auparavant isolés. KASTEL regroupe les compétences en matière de sécurité informatique sur le site de recherche de Karlsruhe. L'objectif est de développer une approche globale plutôt que des solutions partielles isolées. L'accent sera mis sur la sécurité globale dans des domaines d'application spécifiques, tels que les réseaux électriques ou les usines intelligentes. Pour garantir cette sécurité, il faut modéliser les nouvelles menaces, décrire les objectifs de sécurité et développer de nouvelles méthodes. Cela ne peut se faire qu'avec la coopération de cryptographes, de spécialistes de la sécurité informatique, d'ingénieurs logiciels, d'experts en réseaux, d'avocats, d'économistes et de spécialistes des sciences sociales.

 

Objectifs du IIP dans KASTEL


Dans le cadre de KASTEL, l'IIP traite de la gestion des risques économiques. La gestion des risques comprend généralement l'analyse systématique des risques organisationnels internes et l'élaboration de mesures de réduction des risques en vue de la protection à long terme de l'organisation. La gestion et le contrôle des risques informatiques exigent non seulement que les organisations disposent des technologies et des processus nécessaires, mais aussi que ceux-ci soient économiquement viables et réalisables. En raison de l'augmentation constante des liens informatiques entre les chaînes de valeur industrielles et de l'intensification des efforts nécessaires pour protéger ces structures contre les attaques et les erreurs techniques, la gestion des risques à caractère économique devient de plus en plus importante. La gestion des risques économiques concerne non seulement l'efficacité économique de la gestion des risques informatiques, mais aussi les conséquences économiques d'une défaillance des systèmes informatiques (par exemple, une interruption des activités). En vue de l'élaboration de concepts de sécurité évolutifs et quantifiables, il est possible de prendre en compte les conséquences matérielles et immatérielles dans l'évaluation des risques. En outre, une analyse des risques économiques prend également en compte le comportement des acteurs ainsi que les coûts d'opportunité des mesures de réduction des risques et donc les objectifs contradictoires des investissements en sécurité. On peut en déduire les objectifs de sous-projet suivants :

 

  • Catégorisation des profils d'attaquants et identification des stratégies d'attaque pour permettre une défense ciblée contre les agresseurs externes (délinquants externes).
  • Identification des attaquants internes au système (délinquants internes) ainsi que l'analyse et la conception d'incitations internes pour réduire le risque.
  • Description des exigences d'une culture interne de la sûreté pour réduire les sources de danger que sont l'"insouciance et l'erreur humaine
  • Évaluation des dommages directs/indirects matériels et immatériels