SOCCRATES est un projet européen H2020 lancé en septembre dernier pour une durée de trois ans. Son objectif est la mise au moins d’une plateforme permettant d’automatiser la détection de certaines attaques et le lancement des contre-mesures adaptées. Ce faisant, il doit permettre aux opérateurs de cybersécurité des systèmes industriels d’être plus efficaces et plus rapides dans leurs réponses en cas de cyberattaque. Hervé Debar, chercheur en sécurité des systèmes d’information à Télécom SudParis, nous explique comment le consortium de recherche dont fait partie son école s’y prendra pour développer cette solution.
En quoi consiste la plateforme SOCCRATES ?
Hervé Debar : La plateforme SOCCRATES est un environnement de « Security Information and Event Management » (SIEM), qui a pour but de mieux détecter et bloquer les attaques informatiques. Pour ce faire, la plateforme collecte des données relatives aux vulnérabilités présentes sur le système surveillé, à l’activité malveillante qui cible l’environnement informatique, ainsi que des informations globales sur la menace. Elle propose ensuite des contre-mesures adaptées aux attaques détectées, et permet de les déployer.
À quels besoins des entreprises et organisations en matière de cybersécurité cette plateforme entend-elle répondre ?
HD : Les plateformes SIEM forment le cœur des Security Operating Centers (SOC), où des opérateurs traitent la menace informatique. Tous les opérateurs d’infrastructures critiques doivent surveiller leurs systèmes d’information : c’est une obligation réglementaire nationale et européenne. Face à l’accroissement de la menace, la plateforme SOCCRATES vise à apporter un degré supplémentaire d’automatisation. Cela permet de traiter les attaques plus rapidement et plus précisément. Les opérateurs peuvent alors se concentrer sur les attaques les plus complexes.
Quelle est votre démarche pour parvenir à mettre au point cette plateforme ?
HD : Le projet se focalise globalement sur la problématique de la connaissance apportée aux opérateurs SOC pour faire face aux attaques. Cette connaissance prend trois formes. La première forme est une meilleure connaissance du système d’information surveillé, et des chemins d’attaque qui peuvent être exploités pour parvenir à compromettre une cible vulnérable. Bloquer les chemins d’attaque les plus faciles permet de limiter la propagation de l’attaquant dans le système. La deuxième forme de connaissance est apportée par la connaissance de la menace. Cela consiste à observer des phénomènes d’attaque sur Internet afin d’améliorer les mécanismes de détection en place. La troisième forme de connaissance concerne les impacts métiers d’une attaque, pour évaluer le risque apporté par les contre-mesures, et les bénéfices en matière de limitation de l’impact de l’attaque.
Quelle expertise les chercheurs de Télécom SudParis apporteront-ils dans ce projet ?
HD : Nous apportons notre expertise en matière de remédiation aux attaques informatiques, issue notamment des projets européens FP7 MASSIF et PANOPTESEC. Ces deux projets lancés en 2013 et 2014 nous ont permis d’acquérir une connaissance forte en matière de cybersécurité industrielle, de management des attaques et de déploiement de contre-mesures. Nous apportons un modèle de réponse qui permet d’évaluer de manière quantitative l’effet — positif ou négatif — des remédiations proposées pour bloquer les attaques.
À lire sur I’MTech : SPARTA définit la cybersécurité à l’échelle européenne
Comment allez-vous tester l’efficacité de la plateforme SOCCRATES ?
HD : La plateforme sera implémentée et déployée dans deux environnements pilotes. Il s’agit d’infrastructures critiques dans le domaine du cloud — avec l’entreprise Mnemonic — et dans le domaine de l’énergie — avec Vattenfal. Mnemonic est un fournisseur de services de sécurité managé. Mnemonic est un fournisseur de services de sécurité managé. A Vattenfall, l’utilisation de SOCCRATES concerne la surveillance des réseaux permettant le pilotage de la production et de la distribution d’électricité.
Au-delà de ces partenaires industriels, comment se structure le projet ?
HD : SOCCRATES est coordonné par l’organisation néerlandaise pour la recherche scientifique appliquée (TNO). On y retrouve l’IMT, aux côtés de trois partenaires suédois (KTH, Foreseeti et Mnemonic) ; un finlandais (F-Secure), ATOS Espagne, Vattenfall IT Services (Pologne), l’Institut Technologique d’Autriche (AIT), et d’un autre partenaire néerlandais, ShadowServer. Ce consortium se structure sur 3 contributions : l’analyse de vulnérabilités, la détection comportementale, la remédiation aux attaques. La première étape importante pour nous d’ici fin janvier est de définir les cas d’usage et de démonstration, qui seront utilisés pour développer les composants du projet, les valider et les démontrer.
3 comments
Pingback: Veille Sécurité IA – N87 – Veille Sécurité – Intelligence Artificielle
Pingback: Veille Cyber N260 – 09 décembre 2019 |
Pingback: Hervé Debar - I'MTech