La plateforme CHESS un outil pour l’analyse comparative des technologies de cyber sécurité - Nabil Bouzerna
1. La plateforme CHESS un outil pour
l’analyse comparative des
technologies de cyber sécurité
Nabil Bouzerna - Architecte de Plateforme
Préparée pour la « Première journée défis technologiques de la cybersécurité »
Le 30 janvier 2017 à Rennes
2. Plan
Présentation générale de SystemX
Institut de Recherche Technologique (IRT) centré sur l’Ingénierie
Numérique des Systèmes Complexes
La plateforme CHESS@SystemX et le projet de R&D « EIC »
Environnement d’Intégration et d’Interopérabilité en Cybersécurité
Focus sur la tâche « Analyse comparative des technologies pour la
cybersécurité : méthodes, corpus et métriques » du projet EIC
avec Airbus D&S Cyber Security et Thales (TCS, TRT & Thales Service)
La recherche en ingénierie numérique de systèmes complexes
2
3. 3
Lien fort avec un Pôle de
compétitvité
Effectifs co-localisés
Financement public (PIA)
sur 50% des dépenses
Création de valeur par le
transfert technologique
Les IRT: Une nouvelle dynamique de l’innovation
Infectiologie
Matériaux
composites
Matériaux,
métallurgie
et procédés
Infrastructures
ferroviaires
Nanoélectronique
Aéronautique, espace
et systèmes embarqués
Réseaux et
infrastructures
numériques
Ingénierie numérique
des systèmes
complexes
4. Un écosystème dynamique au croisement des STIC
4
SystemX partenaire associé de
l’Ecole Doctorale STIC
5 000 Chercheurs en
Ingénierie et STIC
700 partenaires (dont 450
PME & 125 grands groupes)
5. 5
Missions
Création de valeur par le
transfert technologique
L’Excellence au service de l’Ingénierie
Numérique des Systèmes
Décloisonnement des mondes
publics et privés
7. Activités de Recherche & Développement de SystemX
En ligne avec les plans de la Nouvelle France Industrielle (NFI)
7
Transport Multimodal et Véhicule Autonome
Modélisation-Interopérabilité-Coopération (MIC)
Localisation Réalité Augmentée (LRA)
Simulation pour la sécurité du Véhicule Autonome (SVA)
Cyber Sécurité du Transport Intelligent
Cybersécurité & Big Data
Intégration Multimédia Multilingue (IMM)
Smart City Energy analytics (SCE)
Environnement Interopérabilité Cybersecurité (EIC)
Territoire Numérique de Confiance (TNC)
Blockchain for Smart Transaction (BST)
Cyber Threats Intelligence (montage en cours)
Usine du Futur & IIoT / Industrie 4.0 (montage en cours)
Cloud Computing
Services de Télécommunication et Cloud (STC)
Usine du Futur
Réduction de modèles et Optimisation Multi-physiques
(ROM)
Simulation et Ingénierie Multidisciplinaire (SIM)
Standards & Interopérabilité PLM (SIP)
Logiciels et Systèmes Embarqués
Fiabilité et Sûreté de Fonctionnement (FSF)
Electronique et Logiciel Automobile (ELA)
OpenAltaRica (OAR)
ITS Sécurité (ISE)
2016
2015
2016 2014
2013
2016
2017
2017
8. Projet EIC et la plateforme CHESS @ IRT SystemX (2015)
L’IRT SystemX est inscrit dans l’action « plateformes » du Plan Nouvelle France
Industrielle (NFI) « Cybersécurité » piloté par l’ANSSI
8
9. Projet EIC et la plateforme CHESS @ IRT SystemX (2015)
Inscrit dans l’action « plateformes » du plan Nouvelle France Industrielle (NFI) « Cybersécurité »
Labellisé par le Comité de la Filière Industrielle de Sécurité (CoFIS)
L’IRT SystemX est inscrit dans l’action « plateformes » du Plan Nouvelle France
Industrielle (NFI) « Cybersécurité » piloté par l’ANSSI
8
18. Les partenaires du projet EIC
Grands Groupes & Entités Etatiques
Airbus Group
Gemalto
Engie
PME (définition européenne <250 pers)
Bertin IT
Prove&Run
Académiques
CEA Tech LIST
IMT – Telecom SudParis
Université de Technologies de Troyes
19. EIC : La Cybersécurité appliquée à 4 cas d’usage innovants
Les Smart Grids
Les futurs Réseaux d’énergie numérisés et intelligents
Le Véhicule Connecté & son Environnement
Le transport connecté et autonome
L’Usine du Futur
Des SCADA à l’Usine 4.0 reposant sur l’Internet Industriel des Objets
Les Systèmes d’Information d’Entreprise, la gestion de la mobilité et
les nouveaux services associés
L’Internet des Objets (IoT/M2M) et les menaces émergentes
20. Architecture de la plate-forme CHESS, support aux projets EIC, CTI, TNC, …
13
Cybersecurity Hardening
Environment for
Systems of Systems
21. Architecture de la plate-forme CHESS, support aux projets EIC, CTI, TNC, …
13
Cybersecurity Hardening
Environment for
Systems of Systems
23. Feuille de route suivie à partir des cas d’usage
Reproduction de
l’architecture cible
Recherche de
vulnérabilité/faille
Architectures sécurisées
et/ou durcissement
15
24. Expérimenter : variabilité offerte par la plateforme CHESS
Networks
•wired
•low-bandwidth
wireless
•high-bandwidth
wireless
•WAN, LAN
Data
•at rest
•in motion
•in use
Software
•middleware
•database
•file system & memory
management
•operating system,
hypervisor
•boot loader
Hardware
•processor
•memory & storage
devices
•network card, modem
N°
26. Moyen d'expérimentation et/ou de simulation
Capacités matérielles
Equipements de terrain
Boards de développement (>30 types)
Démonstrateurs pour les 4 cas d’usage
25 serveurs @ISX dont un HPC Bullx
848 cœurs physiques
1696 cœurs logiques
5 To RAM
Up to 6,72 PetaOctet de stockage
Capacités logicielles
Virtualisation & Simulation
Ateliers à base de COTS et/ou OSS
Couche d’intégration/d’interopérabilité
Déploiement semi-automatique
Preuves de Concepts pour valider
expérimentalement nos travaux
théoriques
Des capacités des « Hardware » et « Software »
27. Moyen d'expérimentation et/ou de simulation
Capacités matérielles
Equipements de terrain
Boards de développement (>30 types)
Démonstrateurs pour les 4 cas d’usage
25 serveurs @ISX dont un HPC Bullx
848 cœurs physiques
1696 cœurs logiques
5 To RAM
Up to 6,72 PetaOctet de stockage
Capacités logicielles
Virtualisation & Simulation
Ateliers à base de COTS et/ou OSS
Couche d’intégration/d’interopérabilité
Déploiement semi-automatique
Preuves de Concepts pour valider
expérimentalement nos travaux
théoriques
Des capacités des « Hardware » et « Software »
28. Moyen d'expérimentation et/ou de simulation
Capacités matérielles
Equipements de terrain
Boards de développement (>30 types)
Démonstrateurs pour les 4 cas d’usage
25 serveurs @ISX dont un HPC Bullx
848 cœurs physiques
1696 cœurs logiques
5 To RAM
Up to 6,72 PetaOctet de stockage
Capacités logicielles
Virtualisation & Simulation
Ateliers à base de COTS et/ou OSS
Couche d’intégration/d’interopérabilité
Déploiement semi-automatique
Preuves de Concepts pour valider
expérimentalement nos travaux
théoriques
Des capacités des « Hardware » et « Software »
29. Capacité d'expérimentation et de simulation
vIT (virtual IT) & vIoT (virtual IoT)
Capacité à provisionner rapidement un grand nombre de VMs IT (x86) et IoT (ARM)
Jusqu’à 800 VMs ARM par serveur en 20 minutes
e.g : SODA-IIoT/Blockchain
Passage à l’échelle IT/IoT/IIoT
30. Capacité d'expérimentation et de simulation
vIT (virtual IT) & vIoT (virtual IoT)
Capacité à provisionner rapidement un grand nombre de VMs IT (x86) et IoT (ARM)
Jusqu’à 800 VMs ARM par serveur en 20 minutes
e.g : SODA-IIoT/Blockchain
BMPC: Bare Metal Provisioning and Configuration
Capacité de « provisioning » et de configuration « bare-metal »
Passage à l’échelle IT/IoT/IIoT
35. Simulateurs et Générateurs
C-MASS : Cybersercurity - Multi Agent
System Simulation
Modeling and simulation of cyber attacks
based on multi-agent systems.
21
36. Simulateurs et Générateurs
C-MASS : Cybersercurity - Multi Agent
System Simulation
Modeling and simulation of cyber attacks
based on multi-agent systems.
Simuler des systèmes complexes (V1.0 Smart
Grids) pour :
Etudier des propagations / « viralité » des
attaques
Générer des données
Valider/mesurer l’efficacité des contre-mesures
Dimensionner les capacités défensives
21
38. Sécurisation des protocoles IoT/IIoT : MQTT
Exemple de réalisation sur CHESS
Intégration au sein de la plateforme CHESS du prototype Secure MQTT de
Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT
39. Sécurisation des protocoles IoT/IIoT : MQTT
Exemple de réalisation sur CHESS
Intégration au sein de la plateforme CHESS du prototype Secure MQTT de
Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT
Gestion centralisée des ACL (Single Point of Failure / Single Point of Attack)
40. Sécurisation des protocoles IoT/IIoT : MQTT
Exemple de réalisation sur CHESS
Intégration au sein de la plateforme CHESS du prototype Secure MQTT de
Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT
Gestion centralisée des ACL (Single Point of Failure / Single Point of Attack)
Demande d’étude @SystemX pour remédier le SPoF/SPoA
41. Sécurisation des protocoles IoT/IIoT : MQTT
Exemple de réalisation sur CHESS
Intégration au sein de la plateforme CHESS du prototype Secure MQTT de
Gemalto pour la gestion du contrôle d’accès dans la « Smart Grids » et l’IoT
Gestion centralisée des ACL (Single Point of Failure / Single Point of Attack)
Demande d’étude @SystemX pour remédier le SPoF/SPoA
Design & développement d’une version décentralisée par IRT SystemX
Décentralisation en exploitant brique « Blockchain »
43. Sécurisation des réseaux IoT/IIoT : LoRaWAN / SigFox
Attaque en rejeu sur équipements OSS et/ou COTS
25
44. Sécurisation des réseaux IoT/IIoT : LoRaWAN / SigFox
Attaque en rejeu sur équipements OSS et/ou COTS
25
45. Sécurisation des réseaux IoT/IIoT : LoRaWAN / SigFox
Attaque en rejeu sur équipements OSS et/ou COTS
25
46. Sécurisation des réseaux IoT/IIoT : LoRaWAN / SigFox
Attaque en rejeu sur équipements OSS et/ou COTS
25
47. 47
SODA-IIoT : MaJ sécurisée des IIoT
Architecture décentralisée pour la MaJ
Firmware/Software des IIoT via une blockchain
48. 48
SODA-IIoT : MaJ sécurisée des IIoT
Architecture décentralisée pour la MaJ
Firmware/Software des IIoT via une blockchain
49. 49
SODA-IIoT : MaJ sécurisée des IIoT
Architecture décentralisée pour la MaJ
Firmware/Software des IIoT via une blockchain
50. 50
SODA-IIoT : MaJ sécurisée des IIoT
Architecture décentralisée pour la MaJ
Firmware/Software des IIoT via une blockchain
51. 51
ABACHE (Data Privacy)
Démonstrateur ABACHE intégré à la plateforme CHESS
An access control system with mullti-factor authentication (Biometric and NFC/RFID card and/or secure token)
which strengthens confidentiality of biometric data thanks to homomorphic encryption.
52. 52
ABACHE (Data Privacy)
ABACHE : Anonymous Biometric Access Control based
on Homomorphic Encryption
An access control system with multi-factor authentication
(Biometric and NFC/RFID card and/or secure token) which
strengthens confidentiality of biometric data thanks to
homomorphic encryption
Démonstrateurs
ABACHE Cryptosystème de Paillier (Java)
N-ABACHE Cryptosystème de Paillier (C++)
H-ABACHE Cryptosystème « Fully Homomorphic » (C++)
T-ABACHE Cryptosystème embarqué sur tablette Android
Publication à la conférence IEEE CloudCom 2016 le
15/12/2016 dans le track 6 « Security and Privacy »
53. 53
Renseignement d’Intérêt Cyber
« Honeypots » et « Discrétion et furtivité »
Analyse des typologies d’attaque sur des infrastructures IT, IIoT/IoT, CIS/SCDADA
intégrés à la plateforme CHESS et en ligne depuis avril 2015 (IT)
81. On veut faire quoi sur CHESS en 2017 ?
Analyse comparative des technologies pour la cybersécurité :
méthodes, corpus et métriques
82. Analyse comparative des technologies pour la cybersécurité
Nouvelles capacités visées en 2017
Méthodes, corpus et métriques
32
83. Analyse comparative des technologies pour la cybersécurité
Nouvelles capacités visées en 2017
Méthodes, corpus et métriques
32
84. Analyse comparative des technologies pour la cybersécurité
Nouvelles capacités visées en 2017
Méthodes, corpus et métriques
32
85. Analyse comparative des technologies pour la cybersécurité
Nouvelles capacités visées en 2017
Méthodes, corpus et métriques
32
86. Analyse comparative des technologies pour la cybersécurité
Objectifs
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
33
87. Analyse comparative des technologies pour la cybersécurité
Objectifs
Le développement du marché de la cybersécurité passe également
par la mise en évidence du niveau de performance atteint par l’état
de l’art et par la constitution d’un « club » d’acteurs identifiés
pouvant prouver leur niveau de compétence.
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
33
88. Analyse comparative des technologies pour la cybersécurité
Objectifs
Le développement du marché de la cybersécurité passe également
par la mise en évidence du niveau de performance atteint par l’état
de l’art et par la constitution d’un « club » d’acteurs identifiés
pouvant prouver leur niveau de compétence.
Considéré par l’ANSSI comme un objectif prioritaire du projet EIC, il
s’agira notamment de mettre en place au sein de l’IRT SystemX une
structure pérenne d’analyse comparative des technologies en
cybersécurité, à l’instar du NIST américain, et qui sera capable de
diffuser le plus largement possible les informations et les
ressources issues de ces études comparatives.
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
33
89. Analyse comparative des technologies pour la cybersécurité
Objectifs
Le développement du marché de la cybersécurité passe également
par la mise en évidence du niveau de performance atteint par l’état
de l’art et par la constitution d’un « club » d’acteurs identifiés
pouvant prouver leur niveau de compétence.
Considéré par l’ANSSI comme un objectif prioritaire du projet EIC, il
s’agira notamment de mettre en place au sein de l’IRT SystemX une
structure pérenne d’analyse comparative des technologies en
cybersécurité, à l’instar du NIST américain, et qui sera capable de
diffuser le plus largement possible les informations et les
ressources issues de ces études comparatives.
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
33
90. Analyse comparative des technologies pour la cybersécurité
Objectifs :
Comme dans d’autres domaines* , ces analyses comparatives vont
indéniablement stimuler la recherche, encourager les travaux dans certaines
directions prometteuses, resserrer les liens entre l’industrie et la recherche,
permettre de comparer différentes approches sur une tâche donnée et
fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi
que des métriques d’évaluation.
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
34
91. Analyse comparative des technologies pour la cybersécurité
Objectifs :
Comme dans d’autres domaines* , ces analyses comparatives vont
indéniablement stimuler la recherche, encourager les travaux dans certaines
directions prometteuses, resserrer les liens entre l’industrie et la recherche,
permettre de comparer différentes approches sur une tâche donnée et
fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi
que des métriques d’évaluation.
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
34
• Campagne d’évaluation du NIST (USA) + LDC : Reconnaissance et identification faciale (Safran
ID/Morpho), Traitement de la parole (LIMSI/CNRS, LIUM, …), Traduction automatique (Systran/LIUM,…),…
92. Analyse comparative des technologies pour la cybersécurité
Objectifs :
Comme dans d’autres domaines* , ces analyses comparatives vont
indéniablement stimuler la recherche, encourager les travaux dans certaines
directions prometteuses, resserrer les liens entre l’industrie et la recherche,
permettre de comparer différentes approches sur une tâche donnée et
fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi
que des métriques d’évaluation.
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
34
• Campagne d’évaluation du NIST (USA) + LDC : Reconnaissance et identification faciale (Safran
ID/Morpho), Traitement de la parole (LIMSI/CNRS, LIUM, …), Traduction automatique (Systran/LIUM,…),…
• DGA MI/IP en Recherche d’Information (vidéo, audio, image, texte), Défi ANR/DGA REPERE (évaluation
Reconnaissance de PERsonnes dans des Émissions télévisuelles) », Défi ANR/DGA DEFALS (évaluation
de systèmes de détection de falsifications dans des images et des vidéos », PEA TRAD, PEA MAURDOR,
etc.
93. Analyse comparative des technologies pour la cybersécurité
Objectifs :
Comme dans d’autres domaines* , ces analyses comparatives vont
indéniablement stimuler la recherche, encourager les travaux dans certaines
directions prometteuses, resserrer les liens entre l’industrie et la recherche,
permettre de comparer différentes approches sur une tâche donnée et
fournir des jeux de données, qui peuvent être réutilisés à d’autres fins, ainsi
que des métriques d’évaluation.
La mesure quantitative/qualitative des performances et
la reproductibilité des expériences
34
• Campagne d’évaluation du NIST (USA) + LDC : Reconnaissance et identification faciale (Safran
ID/Morpho), Traitement de la parole (LIMSI/CNRS, LIUM, …), Traduction automatique (Systran/LIUM,…),…
• DGA MI/IP en Recherche d’Information (vidéo, audio, image, texte), Défi ANR/DGA REPERE (évaluation
Reconnaissance de PERsonnes dans des Émissions télévisuelles) », Défi ANR/DGA DEFALS (évaluation
de systèmes de détection de falsifications dans des images et des vidéos », PEA TRAD, PEA MAURDOR,
etc.
94. Analyse comparative des technologies pour la cybersécurité
L’évaluation de performances de systèmes de détection/prévention d’intrusion pose
des problèmes spécifiques dans la mesure où il s’agit de systèmes « intelligents ».
35
95. Analyse comparative des technologies pour la cybersécurité
Synopsis d'une analyse comparative
36
96. Analyse comparative des technologies pour la cybersécurité
Démarche différente de l’évaluation par les publications ou par les pairs, études
d’usage, parfois aussi appelées évaluation d’usage
37
97. Analyse comparative des technologies pour la cybersécurité
Démarche différente de l’évaluation par les publications ou par les pairs, études
d’usage, parfois aussi appelées évaluation d’usage
37
Mesurer objectivement la capacité d’un système à reproduire
une compétence humaine
103. Analyse comparative des technologies pour la cybersécurité
Une impérieuse nécessité de coopérer largement et étroitement au niveau national
39
104. Analyse comparative des technologies pour la cybersécurité
Une impérieuse nécessité de coopérer largement et étroitement au niveau national
39
105. Analyse comparative des technologies pour la cybersécurité
Une impérieuse nécessité de coopérer largement et étroitement au niveau national
39
106. Analyse comparative des technologies pour la cybersécurité
Une impérieuse nécessité de coopérer largement et étroitement au niveau national
39
107. Analyse comparative des technologies pour la cybersécurité
Une impérieuse nécessité de coopérer largement et étroitement au niveau national
39
108. Analyse comparative des technologies pour la cybersécurité
Une impérieuse nécessité de coopérer largement et étroitement au niveau national
39
109. Analyse comparative des technologies pour la cybersécurité
Une impérieuse nécessité de coopérer largement et étroitement au niveau national
39
Faut-il attendre que d’autres définissent les méthodes, corpus et
métriques d’évaluation en cybersécurité pour nous ?
110. 110
Perspectives pour 2017 : IDS SCADA
Cas d’usage « Usine du futur 4.0 » :
Acquisition et intégration d’un « OT » à la plateforme CHESS (2016)
Couplage des systèmes « OT » / « IT » (2016)
IDS pour l’Usine du Futur : CyPRES (FPC Ingénierie)
114. Mais il faut d’autres acteurs pour l’analyse comparative
Sentryo, Radiflow, Cyberbit,…
43
115. Mais il faut d’autres acteurs pour l’analyse comparative
Sentryo, Radiflow, Cyberbit,…
43
116. Mais il faut d’autres acteurs pour l’analyse comparative
Sentryo, Radiflow, Cyberbit,…
43
117. Merci de votre attention
Des questions? (ou pas )
nabil.bouzerna@irt-systemx.fr (Architecte de Plateforme)
www.irt-systemx.fr
Twitter : @IRTSystemX