La plateforme CHESS un outil pour l’analyse comparative des technologies de cyber sécurité - Nabil Bouzerna

1. La plateforme CHESS un outil pour l’analyse comparative des technologies de cyber sécurité Nabil Bouzerna - Architecte de Plateforme Préparée pour la « Première journée défis technologiques de la cybersécurité » Le 30 janvier 2017 à Rennes

2. Plan  Présentation générale de SystemX Institut de Recherche Technologique (IRT) centré sur l’Ingénierie Numérique des Systèmes Complexes  La plateforme CHESS@SystemX et le projet de R&D « EIC » Environnement d’Intégration et d’Interopérabilité en Cybersécurité  Focus sur la tâche « Analyse comparative des technologies pour la cybersécurité : méthodes, corpus et métriques » du projet EIC avec Airbus D&S Cyber Security et Thales (TCS, TRT & Thales Service) La recherche en ingénierie numérique de systèmes complexes 2

3. 3  Lien fort avec un Pôle de compétitvité  Effectifs co-localisés  Financement public (PIA) sur 50% des dépenses  Création de valeur par le transfert technologique Les IRT: Une nouvelle dynamique de l’innovation Infectiologie Matériaux composites Matériaux, métallurgie et procédés Infrastructures ferroviaires Nanoélectronique Aéronautique, espace et systèmes embarqués Réseaux et infrastructures numériques Ingénierie numérique des systèmes complexes

4. Un écosystème dynamique au croisement des STIC 4 SystemX partenaire associé de l’Ecole Doctorale STIC 5 000 Chercheurs en Ingénierie et STIC 700 partenaires (dont 450 PME & 125 grands groupes)

5. 5 Missions Création de valeur par le transfert technologique L’Excellence au service de l’Ingénierie Numérique des Systèmes Décloisonnement des mondes publics et privés

6. Ils nous ont déjà rejoints 6

7. Activités de Recherche & Développement de SystemX En ligne avec les plans de la Nouvelle France Industrielle (NFI) 7  Transport Multimodal et Véhicule Autonome  Modélisation-Interopérabilité-Coopération (MIC)  Localisation Réalité Augmentée (LRA)  Simulation pour la sécurité du Véhicule Autonome (SVA)  Cyber Sécurité du Transport Intelligent  Cybersécurité & Big Data  Intégration Multimédia Multilingue (IMM)  Smart City Energy analytics (SCE)  Environnement Interopérabilité Cybersecurité (EIC)  Territoire Numérique de Confiance (TNC)  Blockchain for Smart Transaction (BST)  Cyber Threats Intelligence (montage en cours)  Usine du Futur & IIoT / Industrie 4.0 (montage en cours)  Cloud Computing  Services de Télécommunication et Cloud (STC)  Usine du Futur  Réduction de modèles et Optimisation Multi-physiques (ROM)  Simulation et Ingénierie Multidisciplinaire (SIM)  Standards & Interopérabilité PLM (SIP)  Logiciels et Systèmes Embarqués  Fiabilité et Sûreté de Fonctionnement (FSF)  Electronique et Logiciel Automobile (ELA)  OpenAltaRica (OAR)  ITS Sécurité (ISE) 2016 2015 2016 2014 2013 2016 2017 2017

8. Projet EIC et la plateforme CHESS @ IRT SystemX (2015) L’IRT SystemX est inscrit dans l’action « plateformes » du Plan Nouvelle France Industrielle (NFI) « Cybersécurité » piloté par l’ANSSI 8

9. Projet EIC et la plateforme CHESS @ IRT SystemX (2015)  Inscrit dans l’action « plateformes » du plan Nouvelle France Industrielle (NFI) « Cybersécurité »  Labellisé par le Comité de la Filière Industrielle de Sécurité (CoFIS) L’IRT SystemX est inscrit dans l’action « plateformes » du Plan Nouvelle France Industrielle (NFI) « Cybersécurité » piloté par l’ANSSI 8

10. Nouvelle France Industrielle (2017) N°

13. Appel à projets PIAVE 2 (clôture le 17 février 2017) N°

18. Les partenaires du projet EIC  Grands Groupes & Entités Etatiques  Airbus Group  Gemalto  Engie  PME (définition européenne <250 pers)  Bertin IT  Prove&Run  Académiques  CEA Tech LIST  IMT – Telecom SudParis  Université de Technologies de Troyes

19. EIC : La Cybersécurité appliquée à 4 cas d’usage innovants  Les Smart Grids  Les futurs Réseaux d’énergie numérisés et intelligents  Le Véhicule Connecté & son Environnement  Le transport connecté et autonome  L’Usine du Futur  Des SCADA à l’Usine 4.0 reposant sur l’Internet Industriel des Objets  Les Systèmes d’Information d’Entreprise, la gestion de la mobilité et les nouveaux services associés  L’Internet des Objets (IoT/M2M) et les menaces émergentes

20. Architecture de la plate-forme CHESS, support aux projets EIC, CTI, TNC, … 13 Cybersecurity Hardening Environment for Systems of Systems

21. Architecture de la plate-forme CHESS, support aux projets EIC, CTI, TNC, … 13 Cybersecurity Hardening Environment for Systems of Systems

22. Une plateforme OK, mais pour faire quoi concrètement ? 14

23. Feuille de route suivie à partir des cas d’usage Reproduction de l’architecture cible Recherche de vulnérabilité/faille Architectures sécurisées et/ou durcissement 15

24. Expérimenter : variabilité offerte par la plateforme CHESS Networks •wired •low-bandwidth wireless •high-bandwidth wireless •WAN, LAN Data •at rest •in motion •in use Software •middleware •database •file system & memory management •operating system, hypervisor •boot loader Hardware •processor •memory & storage devices •network card, modem N°

25. 25 Environnement d'expérimentation et de simulation

26. Moyen d'expérimentation et/ou de simulation  Capacités matérielles  Equipements de terrain  Boards de développement (>30 types)  Démonstrateurs pour les 4 cas d’usage  25 serveurs @ISX dont un HPC Bullx  848 cœurs physiques  1696 cœurs logiques  5 To RAM  Up to 6,72 PetaOctet de stockage  Capacités logicielles  Virtualisation & Simulation  Ateliers à base de COTS et/ou OSS  Couche d’intégration/d’interopérabilité  Déploiement semi-automatique  Preuves de Concepts pour valider expérimentalement nos travaux théoriques Des capacités des « Hardware » et « Software »

29. Capacité d'expérimentation et de simulation  vIT (virtual IT) & vIoT (virtual IoT)  Capacité à provisionner rapidement un grand nombre de VMs IT (x86) et IoT (ARM)  Jusqu’à 800 VMs ARM par serveur en 20 minutes  e.g : SODA-IIoT/Blockchain Passage à l’échelle IT/IoT/IIoT

30. Capacité d'expérimentation et de simulation  vIT (virtual IT) & vIoT (virtual IoT)  Capacité à provisionner rapidement un grand nombre de VMs IT (x86) et IoT (ARM)  Jusqu’à 800 VMs ARM par serveur en 20 minutes  e.g : SODA-IIoT/Blockchain  BMPC: Bare Metal Provisioning and Configuration  Capacité de « provisioning » et de configuration « bare-metal » Passage à l’échelle IT/IoT/IIoT

31. Capacités d'expérimentation et de simulation Socle de la plateforme CHESS

32. Capacités d'expérimentation et de simulation  Capacités de virtualisation : vIT, vIoT et BMPC  OSS : KVM, QEMU, Proxmox, Apache MESOS, OpenStack, …  OSS/COTS : Xen Server, Hynesim (Diateam), VMware, VirtualBox, Hyper-V… Socle de la plateforme CHESS

33. Capacités d'expérimentation et de simulation  Capacités de virtualisation : vIT, vIoT et BMPC  OSS : KVM, QEMU, Proxmox, Apache MESOS, OpenStack, …  OSS/COTS : Xen Server, Hynesim (Diateam), VMware, VirtualBox, Hyper-V…  Capacités de « containerisation » :  OSS : Kubernetes, Docker Swarm, LXC, … Socle de la plateforme CHESS

34. Simulateurs et Générateurs  C-MASS : Cybersercurity - Multi Agent System Simulation 21

35. Simulateurs et Générateurs  C-MASS : Cybersercurity - Multi Agent System Simulation  Modeling and simulation of cyber attacks based on multi-agent systems. 21

36. Simulateurs et Générateurs  C-MASS : Cybersercurity - Multi Agent System Simulation  Modeling and simulation of cyber attacks based on multi-agent systems.  Simuler des systèmes complexes (V1.0 Smart Grids) pour :  Etudier des propagations / « viralité » des attaques  Générer des données  Valider/mesurer l’efficacité des contre-mesures  Dimensionner les capacités défensives 21

37. 37 Sécurisation des protocoles IoT/IIoT : MQTT  Démonstrateur Secure MQTT pour la « Smart Grids » dans CHESS

38. Sécurisation des protocoles IoT/IIoT : MQTT  Exemple de réalisation sur CHESS  Intégration au sein de la plateforme CHESS du prototype Secure MQTT de Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT

39. Sécurisation des protocoles IoT/IIoT : MQTT  Exemple de réalisation sur CHESS  Intégration au sein de la plateforme CHESS du prototype Secure MQTT de Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT  Gestion centralisée des ACL (Single Point of Failure / Single Point of Attack)

40. Sécurisation des protocoles IoT/IIoT : MQTT  Exemple de réalisation sur CHESS  Intégration au sein de la plateforme CHESS du prototype Secure MQTT de Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT  Gestion centralisée des ACL (Single Point of Failure / Single Point of Attack)  Demande d’étude @SystemX pour remédier le SPoF/SPoA

41. Sécurisation des protocoles IoT/IIoT : MQTT  Exemple de réalisation sur CHESS  Intégration au sein de la plateforme CHESS du prototype Secure MQTT de Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT  Gestion centralisée des ACL (Single Point of Failure / Single Point of Attack)  Demande d’étude @SystemX pour remédier le SPoF/SPoA  Design & développement d’une version décentralisée par IRT SystemX  Décentralisation en exploitant brique « Blockchain »

42. 42 Sécurisation des protocoles IoT/IIoT : MQTT

43. Sécurisation des réseaux IoT/IIoT : LoRaWAN / SigFox Attaque en rejeu sur équipements OSS et/ou COTS 25

47. 47 SODA-IIoT : MaJ sécurisée des IIoT Architecture décentralisée pour la MaJ Firmware/Software des IIoT via une blockchain

51. 51 ABACHE (Data Privacy)  Démonstrateur ABACHE intégré à la plateforme CHESS  An access control system with mullti-factor authentication (Biometric and NFC/RFID card and/or secure token) which strengthens confidentiality of biometric data thanks to homomorphic encryption.

52. 52 ABACHE (Data Privacy)  ABACHE : Anonymous Biometric Access Control based on Homomorphic Encryption  An access control system with multi-factor authentication (Biometric and NFC/RFID card and/or secure token) which strengthens confidentiality of biometric data thanks to homomorphic encryption  Démonstrateurs  ABACHE Cryptosystème de Paillier (Java)  N-ABACHE Cryptosystème de Paillier (C++)  H-ABACHE Cryptosystème « Fully Homomorphic » (C++)  T-ABACHE Cryptosystème embarqué sur tablette Android  Publication à la conférence IEEE CloudCom 2016 le 15/12/2016 dans le track 6 « Security and Privacy »

53. 53 Renseignement d’Intérêt Cyber  « Honeypots » et « Discrétion et furtivité »  Analyse des typologies d’attaque sur des infrastructures IT, IIoT/IoT, CIS/SCDADA intégrés à la plateforme CHESS et en ligne depuis avril 2015 (IT)

54. 54 CyberLab@SystemX L’espace d’expérimentation pour la cybersécurité@SystemX

81. On veut faire quoi sur CHESS en 2017 ? Analyse comparative des technologies pour la cybersécurité : méthodes, corpus et métriques

82. Analyse comparative des technologies pour la cybersécurité Nouvelles capacités visées en 2017 Méthodes, corpus et métriques 32

86. Analyse comparative des technologies pour la cybersécurité  Objectifs La mesure quantitative/qualitative des performances et la reproductibilité des expériences 33

87. Analyse comparative des technologies pour la cybersécurité  Objectifs  Le développement du marché de la cybersécurité passe également par la mise en évidence du niveau de performance atteint par l’état de l’art et par la constitution d’un « club » d’acteurs identifiés pouvant prouver leur niveau de compétence. La mesure quantitative/qualitative des performances et la reproductibilité des expériences 33

88. Analyse comparative des technologies pour la cybersécurité  Objectifs  Le développement du marché de la cybersécurité passe également par la mise en évidence du niveau de performance atteint par l’état de l’art et par la constitution d’un « club » d’acteurs identifiés pouvant prouver leur niveau de compétence.  Considéré par l’ANSSI comme un objectif prioritaire du projet EIC, il s’agira notamment de mettre en place au sein de l’IRT SystemX une structure pérenne d’analyse comparative des technologies en cybersécurité, à l’instar du NIST américain, et qui sera capable de diffuser le plus largement possible les informations et les ressources issues de ces études comparatives. La mesure quantitative/qualitative des performances et la reproductibilité des expériences 33

89. Analyse comparative des technologies pour la cybersécurité  Objectifs  Le développement du marché de la cybersécurité passe également par la mise en évidence du niveau de performance atteint par l’état de l’art et par la constitution d’un « club » d’acteurs identifiés pouvant prouver leur niveau de compétence.  Considéré par l’ANSSI comme un objectif prioritaire du projet EIC, il s’agira notamment de mettre en place au sein de l’IRT SystemX une structure pérenne d’analyse comparative des technologies en cybersécurité, à l’instar du NIST américain, et qui sera capable de diffuser le plus largement possible les informations et les ressources issues de ces études comparatives. La mesure quantitative/qualitative des performances et la reproductibilité des expériences 33

90. Analyse comparative des technologies pour la cybersécurité  Objectifs :  Comme dans d’autres domaines* , ces analyses comparatives vont indéniablement stimuler la recherche, encourager les travaux dans certaines directions prometteuses, resserrer les liens entre l’industrie et la recherche, permettre de comparer différentes approches sur une tâche donnée et fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi que des métriques d’évaluation. La mesure quantitative/qualitative des performances et la reproductibilité des expériences 34

91. Analyse comparative des technologies pour la cybersécurité  Objectifs :  Comme dans d’autres domaines* , ces analyses comparatives vont indéniablement stimuler la recherche, encourager les travaux dans certaines directions prometteuses, resserrer les liens entre l’industrie et la recherche, permettre de comparer différentes approches sur une tâche donnée et fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi que des métriques d’évaluation. La mesure quantitative/qualitative des performances et la reproductibilité des expériences 34 • Campagne d’évaluation du NIST (USA) + LDC : Reconnaissance et identification faciale (Safran ID/Morpho), Traitement de la parole (LIMSI/CNRS, LIUM, …), Traduction automatique (Systran/LIUM,…),…

92. Analyse comparative des technologies pour la cybersécurité  Objectifs :  Comme dans d’autres domaines* , ces analyses comparatives vont indéniablement stimuler la recherche, encourager les travaux dans certaines directions prometteuses, resserrer les liens entre l’industrie et la recherche, permettre de comparer différentes approches sur une tâche donnée et fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi que des métriques d’évaluation. La mesure quantitative/qualitative des performances et la reproductibilité des expériences 34 • Campagne d’évaluation du NIST (USA) + LDC : Reconnaissance et identification faciale (Safran ID/Morpho), Traitement de la parole (LIMSI/CNRS, LIUM, …), Traduction automatique (Systran/LIUM,…),… • DGA MI/IP en Recherche d’Information (vidéo, audio, image, texte), Défi ANR/DGA REPERE (évaluation Reconnaissance de PERsonnes dans des Émissions télévisuelles) », Défi ANR/DGA DEFALS (évaluation de systèmes de détection de falsifications dans des images et des vidéos », PEA TRAD, PEA MAURDOR, etc.

93. Analyse comparative des technologies pour la cybersécurité  Objectifs :  Comme dans d’autres domaines* , ces analyses comparatives vont indéniablement stimuler la recherche, encourager les travaux dans certaines directions prometteuses, resserrer les liens entre l’industrie et la recherche, permettre de comparer différentes approches sur une tâche donnée et fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi que des métriques d’évaluation. La mesure quantitative/qualitative des performances et la reproductibilité des expériences 34 • Campagne d’évaluation du NIST (USA) + LDC : Reconnaissance et identification faciale (Safran ID/Morpho), Traitement de la parole (LIMSI/CNRS, LIUM, …), Traduction automatique (Systran/LIUM,…),… • DGA MI/IP en Recherche d’Information (vidéo, audio, image, texte), Défi ANR/DGA REPERE (évaluation Reconnaissance de PERsonnes dans des Émissions télévisuelles) », Défi ANR/DGA DEFALS (évaluation de systèmes de détection de falsifications dans des images et des vidéos », PEA TRAD, PEA MAURDOR, etc.

94. Analyse comparative des technologies pour la cybersécurité L’évaluation de performances de systèmes de détection/prévention d’intrusion pose des problèmes spécifiques dans la mesure où il s’agit de systèmes « intelligents ». 35

95. Analyse comparative des technologies pour la cybersécurité Synopsis d'une analyse comparative 36

96. Analyse comparative des technologies pour la cybersécurité Démarche différente de l’évaluation par les publications ou par les pairs, études d’usage, parfois aussi appelées évaluation d’usage 37

97. Analyse comparative des technologies pour la cybersécurité Démarche différente de l’évaluation par les publications ou par les pairs, études d’usage, parfois aussi appelées évaluation d’usage 37 Mesurer objectivement la capacité d’un système à reproduire une compétence humaine

98. Analyse comparative des technologies pour la cybersécurité Feuille de route technique 38

103. Analyse comparative des technologies pour la cybersécurité Une impérieuse nécessité de coopérer largement et étroitement au niveau national 39

109. Analyse comparative des technologies pour la cybersécurité Une impérieuse nécessité de coopérer largement et étroitement au niveau national 39 Faut-il attendre que d’autres définissent les méthodes, corpus et métriques d’évaluation en cybersécurité pour nous ?

110. 110 Perspectives pour 2017 : IDS SCADA  Cas d’usage « Usine du futur 4.0 » :  Acquisition et intégration d’un « OT » à la plateforme CHESS (2016)  Couplage des systèmes « OT » / « IT » (2016)  IDS pour l’Usine du Futur : CyPRES (FPC Ingénierie)

111. 111

112. 112

113. CyPRES : compagnon SCADA et IDS 42

114. Mais il faut d’autres acteurs pour l’analyse comparative  Sentryo, Radiflow, Cyberbit,… 43

117. Merci de votre attention Des questions? (ou pas ) nabil.bouzerna@irt-systemx.fr (Architecte de Plateforme) www.irt-systemx.fr Twitter : @IRTSystemX