FR3023040A1 - Systeme de cyberdefence d'un systeme d'information, programme d'ordinateur et procede associes - Google Patents

Systeme de cyberdefence d'un systeme d'information, programme d'ordinateur et procede associes Download PDF

Info

Publication number
FR3023040A1
FR3023040A1 FR1401462A FR1401462A FR3023040A1 FR 3023040 A1 FR3023040 A1 FR 3023040A1 FR 1401462 A FR1401462 A FR 1401462A FR 1401462 A FR1401462 A FR 1401462A FR 3023040 A1 FR3023040 A1 FR 3023040A1
Authority
FR
France
Prior art keywords
potential
information system
services
resources
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1401462A
Other languages
English (en)
Other versions
FR3023040B1 (fr
Inventor
Juliette Mattioli
Pierre Vaures
Eric Jouenne
Thomas Chehire
Thierry Beauvais
Vladimir Ksinant
Emmanuel Miconnet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Priority to FR1401462A priority Critical patent/FR3023040B1/fr
Publication of FR3023040A1 publication Critical patent/FR3023040A1/fr
Application granted granted Critical
Publication of FR3023040B1 publication Critical patent/FR3023040B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Système de cyberdéfense (3) d'un système d'information (2) comprenant ledit système de cyberdéfense comprenant une liste de services, associant à chaque service les ressources principales pour fournir le service et adapté ; - pour collecter des données traçant des événements survenus dans les ressources du système d'information, et détecter des attaques potentielles du système d'information en fonction desdites données analysées ; une liste de services, associant à chaque service respectif les ressources ressources principales pour fournir ledit service ; - pour évaluer l'impact de l'attaque potentielle sur les ressources services du système d'information ; - pour déterminer, en fonction des ressources associées aux services dans la liste, quels seraient les services détériorés en cas de mise en œuvre de ladite réponse potentielle à l'attaque potentielle détectée ; et pour afficher des informations indiquant l'impact évalué de l'attaque potentielle et/ou les services détériorés par ladite réponse potentielle.

Description

Système de cyberdéfense d'un système d'information, programme d'ordinateur et procédé associés La présente invention concerne un système de cyberdéfense d'un système d'information comprenant des ressources de type équipement et des ressources de type application, lesdites ressources étant destinées à fournir des services, ledit système de cyberdéfense comprenant : un premier module de traitement adapté pour collecter des données traçant des événements survenus dans les ressources du système d'information, pour analyser lesdites données et détecter des attaques potentielles du système d'information en fonction desdites données analysées ; un module d'interface homme-machine adapté pour afficher des informations, lesdites informations comportant des alarmes indiquant les attaques potentielles détectées par le premier module de traitement.
Le traitement des alarmes, incidents et/ou évènements, en nombre souvent très important, indiquant des attaques potentielles détectées, dans de tels systèmes de protection d'un système d'information est insuffisant pour aider les opérateurs de ces systèmes à appréhender correctement la gravité des attaques et à réagir de façon appropriée.
A cet effet, suivant un premier aspect, l'invention propose un système de cyberdéfense d'un système d'information du type précité caractérisé en ce qu'il comprend en outre : des moyens de stockage de données comprenant une liste desdits services, et associant à chaque service de la liste un sous-ensemble respectif desdites ressources comportant les ressources considérées comme ressources principales pour fournir ledit service ; un deuxième module de traitement adapté pour évaluer l'impact de l'attaque potentielle sur les ressources et/ou services du système d'information ; un troisième module de traitement adapté pour recevoir depuis le module d'interface homme-machine des données de définition d'une réponse potentielle à l'attaque potentielle détectée, et pour déterminer, en fonction des sous-ensembles de ressources associés aux services dans lesdits moyens de stockage de données, quels seraient les services détériorés en cas de mise en oeuvre de ladite réponse potentielle ; le module d'interface homme-machine étant en outre adapté pour afficher des informations indiquant l'impact évalué de l'attaque potentielle et/ou les services détériorés par ladite réponse potentielle.
Un tel système de cyberdéfense permet d'accroître la défense et la sécurisation des systèmes d'information de toute entreprise souhaitant protéger son système d'information, notamment des entreprises critiques en termes de sécurité telles que les fournisseurs d'énergie, d'eau, de transport, de télécommunications et/ou hébergeant des applications comme les centres de données ou centres de nuage informatique «(en anglais « cloud »). Dans des modes de réalisation, un système de cyberdéfense d'un système d'information suivant l'invention comporte en outre une ou plusieurs des caractéristiques suivantes : - le deuxième module de traitement est en outre adapté pour prédire, en fonction d'attaque(s) potentielle(s) détectée(s) par le premier module de traitement, au moins une prochaine attaque potentielle et pour évaluer l'impact de la prochaine attaque potentielle sur les ressources et/ou services du système d'information ; le module d'interface homme-machine étant en outre adapté pour afficher des informations indiquant ladite prochaine attaque potentielle prédite et l'impact évalué de la prochaine attaque potentielle prédite ; le deuxième module est adapté pour enregistrer des patrons-types d'attaques, et pour sélectionner, en fonction de nouvelle(s) attaque(s) potentielle(s) détectée(s) par le premier module, un patron -type d'attaque et pour prédire, en fonction dudit patron-type sélectionné, au moins une prochaine attaque potentielle les moyens de stockage de données comporte une liste d'identifiants de mission du système d'information et associe à chaque identifiant de mission une sous-liste respective de la liste des services comprenant les services considérés comme essentiels pour la mission, et l'évaluation de l'impact de l'attaque potentielle sur les ressources et/ou services du système d'information et/ou la détermination des services détériorés en cas de mise en oeuvre de ladite réponse potentielle sont réalisées en fonction des services de la sous-liste associée à l'identifiant de la mission courante du système d'information. le premier module de traitement est adapté pour détecter d'une part des attaques potentielles du système d'information en fonction de l'analyse de données traçant des événements survenus exclusivement dans les équipements du système d'information et pour détecter d'autre part des attaques potentielles du système d'information en fonction de l'analyse de données traçant des événements survenus exclusivement dans les applications du système d'information ; le premier module de traitement est adapté pour fusionner en une même attaque potentielle une attaque potentielle détectée en fonction de l'analyse de données traçant des événements survenus exclusivement dans les équipements du système d'information et une attaque potentielle détectée en fonction de l'analyse de données traçant des événements survenus exclusivement dans les applications du système d'information, lorsque ces attaques potentielles détectées présentent des attributs déterminés communs.
Suivant un deuxième aspect, la présente invention propose un procédé de cyberdéfense d'un système d'information comprenant des ressources de type équipement et des ressources de type application, lesdites ressources étant destinées à fournir des services, ledit procédé comprenant les étapes consistant à : collecter des données traçant des événements survenus dans les ressources du système d'information, pour analyser lesdites données et détecter des attaques potentielles du système d'information en fonction desdites données analysées ; afficher des informations, lesdites informations comportant des alarmes indiquant les attaques potentielles détectées par le premier module de traitement ; ledit procédé étant caractérisé en ce qu'il comprend en outre les étapes consistant à : stocker dans des moyens de stockage de données une liste desdits services, et associer, dans les moyens de stockage de données, à chaque service de la liste un sous-ensemble respectif desdites ressources comportant les ressources considérées comme ressources principales pour fournir ledit service ; évaluer l'impact de l'attaque potentielle sur les ressources et/ou services du système d'information ; recevoir des données de définition d'une réponse potentielle à l'attaque potentielle détectée, et déterminer, en fonction des sous-ensembles de ressources associés aux services dans lesdits moyens de stockage de données, quels seraient les services détériorés en cas de mise en oeuvre de ladite réponse potentielle ; afficher des informations indiquant l'impact évalué de l'attaque potentielle et/ou les services détériorés par ladite réponse potentielle. Suivant un troisième aspect, la présente invention propose un programme d'ordinateur à installer dans un système de cyberdéfense d'un système d'information, ledit programme comportant des instructions pour mettre en oeuvre les étapes d'un procédé suivant le deuxième aspect de l'invention lors d'une exécution du programme par des moyens de traitement du système de protection. Ces caractéristiques et avantages de l'invention apparaîtront à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple, et faite en référence à la figure unique représentant une vue d'une plate-forme de cyberdéfense d'un système d'information dans un mode de réalisation de l'invention. La figure unique est une vue d'une plate-forme 1 de système d'information comprenant un système d'information 2 d'une entreprise et un système de cyberdéfense 3 de ce système d'information 2. Le système de cyberdéfense 3 est adapté pour défendre et sécuriser le système d'information 2 contre les cyberattaques. Le système d'information 2 comporte des ressources adaptées pour fournir des services à des utilisateurs et notamment pour acquérir, stocker, de traiter et diffuser des données nécessaires au fonctionnement du système dans le cadre de la fourniture de ces services. Le système d'information 2 a une forte composante technologique, informatique, organisationnelle et humaine. Il a pour objectif d'organiser, transmettre et stocker l'information de façon efficace et cohérente pour toutes les activités d'une entreprise, d'un réseau d'entreprises, d'une administration publique, des relations entre entreprises, citoyens, gouvernements. Ces ressources comportent des équipements, notamment des équipements informatiques, et des applications s'exécutant sur les équipements informatiques, de l'entreprise. Le système d'information 2 est interfacé au réseau Internet (non représenté) avec lequel il échange certaines de ces données. On notera que dans d'autres modes de réalisation, le système d'information 2 n'est pas interfacé au réseau Internet. Parmi les équipements informatiques figurent par exemple des serveurs, des équipements en charge du trafic de données tels que des routeurs, des barrières coupe-feu (en anglais « firewalls »), des téléphones mobiles et ordinateurs des employés de l'entreprise etc. Ces équipements informatiques et les applications s'exécutant sur ces équipements sont adaptés pour générer des logs. Un log est un ensemble de données traçant un événement et émis par l'équipement ou l'application ayant détecté l'événement.
Dans la description qui suit, on distingue les logs dits « logs IT » des logs dits « logs Apps ».
Les logs « Apps », encore nommés « logs métiers » sont des données fonctionnelles nécessaires aux opérations et à la supervision du système qui supporte la mission du métier. Ces logs sont constitués des données métier et peuvent être enrichies avec des données de contexte pour pouvoir permettre des analyses a posteriori, de la restitution d'environnement fonctionnel. Ils peuvent être sous trois formes de supports informatiques principaux : fichiers, flux et mémoire. Les données métier correspondent aux données nécessaires aux « grandes fonctions ».
Dans le domaine aérien, les données métiers sont par exemple issues des éléments suivants : le contrôle aérien, le pistage, l'identification. Dans le domaine de la vidéo surveillance, les données métiers sont par exemple relatives à la prise de contrôle des caméras, la création de clip. Les logs IT ou ICT sont des logs techniques générés par les équipements de télécommunication et de trafic, les équipements, les systèmes d'exploitation ou OS (an anglais « Operating Systems ») et les composants techniques. Par exemple on entend par Log IT typiquement tout log émis par les ressources dédiées au stockage des données, à la transmission, au filtrage par les barrières pare-feu, au traitement par les systèmes d'exploitation des équipements informatiques et par les ressources dédiées etc. Le système de cyberdéfense 3 illustré en figure unique comporte un module de détection d'intrusion 4, une cyberbase de données 5, un module d'évaluation d'impact 6, un module de supervision de la réponse 7, un module de support décisionnel 8 et un module de traitement différé 9.
Le système de cyberdéfense est utilisé par l'équipe de sécurité des systèmes d'information qui est en charge notamment de la supervision et de la maîtrise des cyberattaques contre le système d'information 2. Cyberbase de données Ci-après est décrite une cyberbase de données utilisée dans un mode de réalisation de l'invention, comportant elle-même des bases de données. Dans d'autres modes de réalisation, les informations ou certaines des informations sont fournies à la place par d'autres moyens, tels que des fichiers plats par exemple. La cyberbase de données 5 comporte notamment : - une base de données de vulnérabilité 5.1 listant des vulnérabilités de certaines applications et équipements du système d'information et identifiées par leur identifiant respectif, face à certaines cyberattaques identifiées elles-aussi par leur identifiant respectifs. Cette base de données de vulnérabilité 5.1 a par exemple été développée par l'entreprise ou a par exemple été précédemment extraite, et est régulièrement mise à jour, de sources, extérieures à la plate-forme 1 telles que par exemple la base de données NIST, ANSSI etc. (dans d'autres modes de réalisation, ces données de vulnérabilité ne sont pas extraites, mais sont disponibles en ligne) ; - une base de données de ressources principales 5.2 identifiant, parmi les ressources du système d'information 2, un sous-ensemble strict de ces ressources nommées ressources principales, qui ont été préalablement déterminées comme les ressources essentielles pour remplir les missions de l'entreprise ; ces ressources principales comportent des applications, dites applications principales, et des équipements, dites équipement principaux. Dans un mode de réalisation, pour chacune de différentes missions, les ressources principales essentielles pour remplir sélectivement ladite mission, sont identifiées. Dans un mode de réalisation, pour chacun des services d'une mission considérée les ressources principales essentielles pour remplir sélectivement le service, sont identifiées. En outre dans un mode de réalisation, les ressources principales sont associées à un niveau de criticité permettant de les ordonner entre elles ; - une base de données de menaces cyber 5.3 indiquant les signatures (i.e. les caractéristiques qui distinguent les attaques entre elles) et identifiants d'attaques cyber connues ; - une base de métadonnées 5.4: ces métadonnées comprennent les logs normalisés, i.e. issus de la normalisation appliquée par le module de détection d'intrusion 4, la base 5.4 comportant pour chacun de ces logs un champ indiquant si le log est de type IT ou App ; - des renseignements en source ouverte consolidés 5.5 par des informations publiques (en anglais « Open Source INTelligence » ou OSINT) ; - des paramétrages 5.6 comprenant des paramétrages préconfigurés de la politique de sécurité et des paramétrages du système d'information 2 et de ses sondes associés à chaque niveau de sécurité. Les sondes sont des dispositifs répartis dans le système d'information et adaptés pour surveiller le système d'information 2. Les éléments qu'une sonde surveille et les modalités de surveillance sont modifiables à l'aide de valeurs de paramètres de réglage de sonde. La sonde transmet régulièrement des données (de type flux ou logs IT ou Apps) transmettant le résultat de cette surveillance ; - la valeur de métriques 5.7 caractérisant les attaques cyber. Parmi les métriques, figurent par exemple : le pourcentage d'attaques, qui caractérise la présence effective d'attaques comparé aux nombres d'attaques potentielles détectées ; le pourcentage d'attaques réussies ; l'exposition aux vulnérabilités, qui est la somme des vulnérabilités connues et non-résolues, multipliées chacune par l'intervalle de temps d'exposition. Elle est mesurée en jours de vulnérabilité ; la pénétration d'attaque : nombre moyen de ressources (services, serveurs) compromises par une attaque ; etc.
Module de détection d'intrusion Le module de détection d'intrusion 4 a pour fonction de superviser et d'analyser l'activité du système d'information 2. A cet effet, il est adapté pour collecter les logs émis par le système d'information, notamment les logs Apps et/ou logs IT émis par les ressources du système d'information 2, y compris les logs fournis par les sondes, pour normaliser les logs collectés afin de permettre un traitement plus global, pour détecter le cas échéant une intrusion potentielle en fonction des logs collectés, et dans ce cas, pour générer une alarme qu'il fournit au module de support décisionnel 8. Le module de détection d'intrusion 4 comporte un sous-module d'audit de vulnérabilités topologiques, un sous-module d'analyse 42 et un sous-module de fusion 43. Sous-module d'audit de vulnérabilités topologiques Le sous-module d'audit de vulnérabilités topologiques 43 est adapté pour effectuer une scrutation du système d'information 2, pour déterminer, en fonction de cette scrutation, quels sont les applications et équipements du système d'information 2 dont les identifiants figurent aussi dans la base de données de vulnérabilité 5.1. A partir de ces applications et équipements déterminés du système d'information 2 et des cyberattaques déterminées qui leur sont associées dans la base de données de vulnérabilité 5.1, le sous-module d'audit de vulnérabilités topologiques 43 est adapté pour analyser et/simuler une pénétration incrémentale du système d'information 2 à l'aide d'un modèle du système d'information 2 et pour construire des cartes d'attaques en plusieurs étapes montrant tous les trajets potentiels de pénétration d'attaques, combinant les attaques déterminées associées aux vulnérabilités du système d'information (cf. par exemple les techniques décrites dans Wang, L.A. (2007) « Towards measuring network security using attack graphs », ACM workshop on quality of protection, et dans Jajodia, S.N. (2007) « Topological vulnerability analysis of network attack vulnerability », Managing Cyber Threats). Le sous-module d'audit de vulnérabilités topologiques 43 est adapté pour calculer une note de vulnérabilité qui reflète la probabilité qu'une vulnérabilité soit exploitée, en fonction de la motivation et de la capacité d'une menace source, de la nature de la vulnérabilité et de l'existence de contrôles. Ces graphes d'attaques pondérés par les notes sont délivrés par le module de détection d'intrusion au module de support décisionnel 8. Ces informations permettent à l'équipe de sécurité des systèmes d'information de résoudre en priorité les vulnérabilités associées aux notes les plus hautes. Ces notes sont calculées par le système de Cyberdefense en fonction d'un calcul probabiliste d'impact sur le chemin d'attaque Sous-module d'analyse Le sous-module d'analyse 42 est adapté pour combiner trois approches complémentaires de détection d'intrusion : a/ la détection par signature, cherchant à reconnaître, dans l'ensemble des logs respectivement IT et Apps, et les données de sondes, des signatures d'attaques prédéfinies dans la base de données de menaces 5.3 ; b/ la détection par spécification, identifiant des écarts par rapport à un comportement normal du système d'information 2 en fonction de spécifications logiques du comportement du système d'information 2 ; c/ la détection par anomalie, identifiant des écarts par rapport à un comportement normal du système d'information 2 en fonction de mesures statistiques ou d'apprentissage automatique. Lorsqu'en mettant en oeuvre l'une de ces approche, le sous-module d'analyse 42 détecte une intrusion potentielle, il transmet au sous-module de fusion 43 une alarme, en correspondance avec les données de logs et de sonde sur la base desquelles l'intrusion potentielle a été détectée.
Pour mettre en oeuvre les approches a et b, le sous-module d'analyse 42 est adapté pour calculer des valeurs de paramètres d'attaques prédéfinis. Ces valeurs sont calculées en fonction d'événements tracés via un audit de l'activité du système d'information 2 tels que le volume, l'écoulement de logs, des données reçues ou sur des séquences déterminées d'action. Le sous-module d'analyse 42 est adapté pour déduire de ces valeurs de paramètres d'attaques un état courant parmi un état d'attaque et un état de comportement « normal » du système. Des étapes de corrélation d'événements sur une ou plusieurs périodes temporelles combinent des informations spatiales et temporelles via un moteur de règles pour déterminer une probabilité d'attaque. Par l'analyse d'événements, le sous-module d'analyse 42 caractérise les attaques par une séquence d'étapes d'intrusion, dits buts secondaires, liées logiquement mais non nécessairement achevées. Chacune représente un stade d'accomplissement pendant la formation de l'intrusion jusqu'à un but principal. La tâche de détection d'intrusion comprend celle de détecter l'achèvement d'un but secondaire. Le sous-module d'analyse 42 est en outre adapté pour effectuer une comparaison dynamique et statique du fonctionnement courant du système d'information 2 à l'aide d'un modèle théorique et d'un modèle statique (dans le cadre de l'approche cl mentionnée ci-dessus). En ce qui concerne le modèle dynamique, il est seulement possible de modéliser, par des paramètres clés, la part critique du flux de données Iogs applicatifs d'un système d'information selon le type d'échanges entre application et/ou le modèle comportemental des services applicatifs clés. Si les valeurs de ces paramètres clés calculées par le sous-module d'analyse 42 varient par rapport au modèle, une alarme de détection d'intrusion est générée. En ce qui concerne le modèle statique, le sous-module d'analyse 42 est adapté pour comparer les ressources principales IT et les applications du système d'information théoriquement déployées d'après la description du système 2 avec ce qui est effectivement couramment détecté en fonctionnement, et pour détecter un écart non souhaité, qui peut être signe d'une attaque. Pour mettre en oeuvre l'approche c, le sous-module d'analyse 42 est adapté pour caractériser l'activité des ressources principales et des utilisateurs via des méthodes analytiques, de sorte qu'un profil d'utilisation normale du système est « appris » sur la base de périodes d'activité « normale ». Le sous-module d'analyse 42 détecte une attaque potentielle en présence d'un écart entre ce profil et un comportement analysé du système d'information sur la base de données traitées en temps réel ou en différé.
Sous-module de fusion Une problématique importante est le volume d'alarmes générées. Le sous-module de fusion 43 est adapté pour réduire le nombre d'alarmes générées : - une étape de réduction des données reçues du sous-module d'analyse 42, comprenant le regroupement d'alarmes ayant des attributs communs (<par exemple une partie de la signature de l'attaque) par agrégation selon des critères multiples ; une étape de corrélation d'alarmes comprenant l'extraction d'information de haut niveau (i.e. une donnée brute portant sur l'alarme et enrichie par une information sémantique comme le type d'attaque) sur les intrusions détectées et l'utilisation de règles de corrélation mettant en correspondance temporellement, spatialement et/ou selon une séquence logique, des alarmes. Dans cette fusion des données peuvent en outre être prises en compte des connaissances extérieures (type OSINT).
Les alarmes en nombre réduit résultant du traitement par le sous-module de fusion 43 sont alors fournies au module de support décisionnel 8 et également au module d'évaluation d'impact 6. Le module de détection d'intrusion 4 est adapté en outre dans le mode de réalisation de l'invention ici considéré, pour déterminer, pour tout log collecté, s'il s'agit d'un log IT ou d'un log App, et pour traiter, dans le sous-module d'analyse 42, de façon séparée, le flux des logs IT du flux des logs Apps, les logs IT et Apps étant ultérieurement corrélés pour mettre en évidence la criticité des alertes dans le traitement de fusion mis en oeuvre par le sous-module de fusion 43. Ce sous-module de fusion permet ainsi de réduire le taux de fausses alarmes, renforçant l'alarme sur une intrusion probable, par une corrélation avec les informations extraites et les connaissances capitalisées dans les différentes bases décrites ci-dessus. Module d'évaluation d'impact Le module d'évaluation d'impact 6 est adapté pour évaluer les impacts et les risques des attaques potentielles détectées par le module de détection d'intrusion 4. Il comprend dans le mode de réalisation considéré les sous-modules de prédiction et d'évaluation d'impact_présentés ci-dessous. Dans d'autres modes de réalisation, seul(s) un ou certains de ces sous-module(s) sont compris dans la module d'évaluation d'impact 6. Sous-module de prédiction Ce sous-module de prédiction est adapté pour identifier une action future potentielle d'attaque en fonction d'au moins une attaque potentielle détectée par le module de détection d'intrusion 4, sa localisation dans le système d'information et l'exploitation frauduleuse associée Dans un mode de réalisation, cette prédiction est en outre fonction de vulnérabilités du système d'information analysées par le module de détection d'intrusion 4. Une attaque n'est en général pas isolée et le but final d'un attaquant est atteint suite à la mise en oeuvre d'un ensemble d'attaques, en série et/ou en parallèle. Dans un mode de réalisation, le sous-module de prédiction est adapté, d'une part, pour enregistrer des patrons-types (en anglais « pattern ») d'attaques correspondant à cet ensemble d'attaques, une fois qu'elles sont identifiées, et est adapté d'autre part pour comparer les nouvelles attaques potentielles détectées, avec ces patrons-types enregistrées, pour sélectionner parmi ces dernières le patron-type d'attaque le plus proche et pour en déduire, en fonction de la position dans le patron-type correspondant à une nouvelle attaque potentielle détectée, la prochaine attaque potentielle probable (correspondant par exemple à la position suivante dans le patron-type).
Sous-module d'évaluation d'impact Le sous-module d'évaluation d'impact et de vulnérabilité est adapté pour estimer les dommages causés sur les ressources et services par des actions courantes et futures d'attaques. Dans le mode de réalisation considéré de l'invention, le sous-module d'évaluation d'impact et de vulnérabilité est adapté pour déterminer préalablement la (les) mission(s) courante(s) impactée(s) du système d'information parmi les différentes missions possibles. Il est adapté pour ensuite extraire de la base de données de ressources principales 5.2, les ressources principales associées sélectivement à la ou les missions courantes déterminées. En fonction d'une attaque potentielle détectée par le module de détection d'intrusion et/ou d'attaque(s) potentielle(s) future(s) correspondantes identifiées par le sous-module de prédiction, le sous-module d'évaluation d'impact est adapté pour identifier les risques, dommages potentiels correspondants apportés aux ressources principales associées à la ou les missions courantes déterminées, et notamment pour évaluer l'impact en termes de : - perte d'intégrité : l'intégrité du système d'information 2 est atteinte lorsque des modifications non souhaitées consécutives à une attaque sont apportées à des ressources ou données dans le système d'information 2 ; - perte de disponibilité de ressources) principale(s), i.e. lorsqu'une ressource principale n'est plus utilisable par les utilisateurs ; perte de confidentialité lorsque des données confidentielles deviennent accessibles sans autorisation préalable requise. Il est adapté pour en déduire les services affectés dans la ou les missions courante(s), en fonction de la correspondance, dans la base de données de ressources principales 5.2, entre les ressources essentielles d'un service et chaque service. Les résultats de l'analyse d'impact effectuée par le module d'évaluation d'impact 6 sont délivrés au module de support décisionnel 8. Le module d'évaluation d'impact 6 est en outre adapté, en fonction des attaques de la séquence-type d'attaque la plus proche sélectionnée par le module d'évaluation d'impact 6, pour comparer les impacts en fonction de la mission courante et en fonction des résultats de cette comparaison, pour ordonner selon un ordre de priorité les attaques potentielles détectées. Cet ordonnancement est fourni au module de support décisionnel 8 pour affichage, en vue de permettre des mesures d'escalade et de priorisation.
Module de supervision de la réponse Le module de supervision de la réponse 7 est adapté pour participer à la mise en place de la réponse à l'attaque potentielle détectée et pour maintenir un niveau de service acceptable du système d'information 2, compte-tenu de sa mission courante. Il est de plus adapté pour ramener le système d'information 2 dans un mode de fonctionnement nominal, si cela a été évalué comme étant sans risque. Le module de supervision de la réponse 7 comporte les sous-modules suivants. Sous-module de projection Ce sous-module de projection est adapté pour déterminer automatiquement l'impact sur le système d'information 2, et plus particulièrement sur sa mission courante, de chaque décision potentielle qui serait prise par l'équipe de sécurité des systèmes d'information. Il répond ainsi à des questions du type : « et quelle serait la détérioration de la mission courante au cas où il serait décidé de ... ?», à l'aide de la base de données de ressources principales 5.2 mettant en correspondance la mission courante et les ressources principales correspondantes. Par exemple, « et quelle serait la détérioration de la mission courante au cas où il serait décidé d'éteindre le serveur ricX ?», dans le cas où le serveur n°X a fait l'objet d'une attaque. Si dans la base de données de ressources principales 5.2, le serveur X est indiqué comme une des ressources principales pour le service Y et le service Z de la mission courante, le sous-module de projection détermine ainsi automatiquement que la détérioration de la mission porte sur la fourniture des services Y et Z. Un tel sous-module permet d'évaluer les conséquences de termes de réduction de service(s) de différentes réponses possibles à une attaque détectée ou une prochaine attaque probable avant de mettre effectivement en oeuvre une de ces réponse, afin de maîtriser les détériorations apportées à la mission du système d'information. Une décision potentielle est par exemple indiquée au sous-module de projection par le module de support décisionnel 8, suite à une commande qui lui est signifiée par l'équipe de sécurité des systèmes d'information. En réponse, le sous-module de projection délivre le résultat de son analyse de l'impact de cette décision potentielle au module de support décisionnel 8. Sous-module de mise en oeuvre d'un mode de réponse Ce sous-module de mise en oeuvre d'un mode de réponse est adapté pour recommander et/ou mettre en oeuvre dans le système d'information 2 des actions de réponse à une attaque selon un mode de réponse parmi : un mode de défense, comprenant la protection des services essentiels pour la mission courante et la mise en déroute de l'attaque ; un mode actif, comprenant la maîtrise de l'attaque et la remise en état du système d'information 2 par la réparation des ressources compromises ; un mode de récupération, comprenant, une fois l'attaque jugulée, un retour à un mode de fonctionnement normal du système d'information 2. Ce sous-module de mise en oeuvre d'un mode de réponse est en outre adapté pour proposer des reconfigurations de sondes ou des changements de politique de sécurité. Sous-module de décomposition de la réponse Le sous-module de décomposition de la réponse est adapté pour, une fois que la réponse à une attaque a été décidée, décomposer cette réponse en différentes actions de la réponse et coordonner entre elles les différentes actions de la réponse. La décomposition est liée au nombre de ressources à reconfigurer selon 3 niveaux : les sondes : comprenant, au niveau des dispositifs de sonde, le changement de réglage tels que des niveaux de trace, des capacités de routage par exemple grâce à une solution TAP (en anglais « Test Access Port » - i.e. dispositif permettant de surveiller un réseau informatique sans le perturber) le changement de filtrage d'événements ou de réglage de capture de trafic à bas niveau ; la sécurité des applications, comprenant les aspects d'autorisation et d'authentification ; la sécurité des équipements IT, comprenant la désactivation de port ou de protocole sur une barrière pare-feu ou un routeur, un changement de niveau de trace de façon synchrone avec la politique de sécurité. Cette réponse à multiniveaux est réalisée en accord avec un niveau de sécurité (état d'attaque, état d'attaque supposée, état nominal) avec des réglages préconfigurés pour chaque ressource et peut effectuer une reconfiguration unitaire. Le module de supervision de la réponse 7 est en outre adapté, lorsqu'une attaque potentielle est confirmée, pour archiver le contexte de l'attaque et en extraire les valeurs de métriques correspondantes dans la section de valeurs des métriques 5.7 de la base de données 5. Ce contexte d'attaque archivé comprend entre autres les logs ayant donné lieu à la détection de l'attaque, les logiciels malveillants associés, et la séquence-type d'attaque déterminée associée à l'attaque, qui sera également enregistrée par le sous-module de prédiction du module d'évaluation d'impact 6.
Module de traitement différé Le module de traitement différé 9 est adapté pour analyser les métadonnées 5.4 stockées dans la base de données 5, et le cas échéant pour déclencher des alarmes, déterminer et/ou reconnaître des séquences-types d'attaques en fonction de cette analyse. Une telle opération d'analyse en temps différé est déclenchée par exemple par l'équipe de sécurité des systèmes d'information ou alors lors d'événements tells qu'une mise à jour de la base de données de vulnérabilité 5.1 ou de changements dans les ressources ou missions du système d'information 2. Module de support décisionnel Le module de support décisionnel 8 est adapté pour effectuer l'interface entre l'équipe de sécurité des systèmes d'information et le système de cyberdéfense 3. Il est ainsi adapté pour afficher le résultat des différents traitements mis en oeuvre par les modules de détection d'intrusion 4, d'évaluation d'impact 6, de supervision de la réponse 7 et de traitement différé 9, et pour permettre la capture des instructions de l'équipe de sécurité des systèmes d'information et la fourniture de ces instructions notamment audits modules.
Le système de cyberdéfense 3 selon l'invention comporte l'identification des ressources principales du système d'information 2, des vulnérabilités et des menaces auxquelles il est soumis, la protection du système d'information 2, la détection des cyberattaques, la réponse à ces attaques et le retour à un mode de fonctionnement nominal du système d'information 2. Il génère des alarmes/incidents/événements en fonction des flux de logs IT et de logs Apps, des audits topologiques et en utilisant les informations de vulnérabilités et d'OSINT. Le nombre des alarmes présentées à l'équipe de sécurité des systèmes d'information est réduit. De plus, en utilisant la fusion des informations de haut niveau ou des techniques de prédiction, le système de cyberdéfense selon l'invention permet d'évaluer les intentions et capacités de l'attaquant. Une telle architecture de système de cyberdéfense 3 selon l'invention permet ainsi d'améliorer la défense et la sécurisation des systèmes d'information d'entreprise. Le système de cyberdéfense tel que décrit en référence à la figure unique permet de prendre en compte le contexte applicatif du système d'information, depuis le traitement distinctf des logs Apps par rapport aux logs IT jusqu'à la prise en compte des missions du système d'information, et en utilisant l'environnement cyber tel que la base de données de vulnérabilité et les informations OSINT.
Dans un mode de réalisation, les traitements mis en oeuvre par les modules du système de cyberdéfense 3 sont réalisées suite à l'exécution, par des moyens de calcul du système de cyberdéfense 3 d'instructions logicielles stockée dans une mémoire du système de cyberdéfense 3.25

Claims (13)

  1. REVENDICATIONS1.- Système de cyberdéfense (3) d'un système d'information (2) comprenant des ressources de type équipement et des ressources de type application, lesdites ressources étant destinées à fournir des services, ledit système de cyberdéfense comprenant : un premier module de traitement (4) adapté pour collecter des données traçant des événements survenus dans les ressources du système d'information, pour analyser lesdites données et détecter des attaques potentielles du système d'information en fonction desdites données analysées ; un module d'interface homme-machine (8) adapté pour afficher des informations, lesdites informations comportant des alarmes indiquant les attaques potentielles détectées par le premier module de traitement ; ledit système de cyberdéfense étant caractérisé en ce qu'il comprend en outre : des moyens de stockage de données (5) comprenant une liste desdits services, et associant à chaque service de la liste un sous-ensemble respectif desdites ressources comportant les ressources considérées comme ressources principales pour fournir ledit service ; un deuxième module de traitement (6) adapté pour évaluer l'impact de l'attaque potentielle sur les ressources et/ou services du système d'information ; un troisième module de traitement (7) adapté pour recevoir depuis le module d'interface homme-machine des données de définition d'une réponse potentielle à l'attaque potentielle détectée, et pour déterminer, en fonction des sous-ensembles de ressources associés aux services dans lesdits moyens de stockage de données, quels seraient les services détériorés en cas de mise en oeuvre de ladite réponse potentielle ; le module d'interface homme-machine étant en outre adapté pour afficher des informations indiquant l'impact évalué de l'attaque potentielle et/ou les services détériorés par ladite réponse potentielle.
  2. 2.- Système de cyberdéfense (3) d'un système d'information (2) selon la revendication 1, dans lequel le deuxième module de traitement (6) est en outre adapté pour prédire, en fonction d'attaque(s) potentielle(s) détectée(s) par le premier module de traitement (4), au moins une prochaine attaque potentielle et pour évaluer l'impact de la prochaine attaque potentielle sur les ressources et/ou services du système d'information ;le module d'interface homme-machine (8) étant en outre adapté pour afficher des informations indiquant ladite prochaine attaque potentielle prédite et l'impact évalué de la prochaine attaque potentielle prédite.
  3. 3.- Système de cyberdéfense (3) d'un système d'information (2) selon la revendication 1 ou 2, dans lequel le deuxième module (6) est adapté pour enregistrer des patrons-types d'attaques, et pour sélectionner, en fonction de nouvelle(s) attaque(s) potentielle(s) détectée(s) par le premier module, un patron -type d'attaque et pour prédire, en fonction dudit patron-type sélectionné, au moins une prochaine attaque potentielle.
  4. 4.- Système de cyberdéfense (3) d'un système d'information selon l'une des revendications 1 à 3, dans lequel les moyens de stockage de données (5) comporte une liste d'identifiants de mission du système d'information et associe à chaque identifiant de mission une sous-liste respective de la liste des services comprenant les services considérés comme essentiels pour la mission, et l'évaluation de l'impact de l'attaque potentielle sur les ressources et/ou services du système d'information et/ou la détermination des services détériorés en cas de mise en oeuvre de ladite réponse potentielle sont réalisées en fonction des services de la sous-liste associée à l'identifiant de la mission courante du système d'information.
  5. 5.- Système de cyberdéfense (3) d'un système d'information (2) selon l'une des revendications précédentes, dans lequel le premier module de traitement (4) est adapté pour détecter d'une part des attaques potentielles du système d'information en fonction de l'analyse de données traçant des événements survenus exclusivement dans les équipements du système d'information et pour détecter d'autre part des attaques potentielles du système d'information en fonction de l'analyse de données traçant des événements survenus exclusivement dans les applications du système d'information.
  6. 6.- Système de cyberdéfense (3) d'un système d'information (2) selon la revendication 5, dans lequel le premier module de traitement (4) est adapté pour fusionner en une même attaque potentielle une attaque potentielle détectée en fonction de l'analyse de données traçant des événements survenus exclusivement dans les équipements du système d'information et une attaque potentielle détectée en fonction de l'analyse de données traçant des événements survenus exclusivement dans les applications du système d'information, lorsque ces attaques potentielles détectées présentent des attributs déterminés communs.
  7. 7.- Procédé de cyberdéfense d'un système d'information (2) comprenant des ressources de type équipement et des ressources de type application, lesdites ressources étant destinées à fournir des services, ledit procédé comprenant les étapes consistant à : collecter des données traçant des événements survenus dans les ressources du système d'information, pour analyser lesdites données et détecter des attaques potentielles du système d'information en fonction desdites données analysées ; afficher des informations, lesdites informations comportant des alarmes indiquant les attaques potentielles détectées par le premier module de traitement ; ledit procédé étant caractérisé en ce qu'il comprend en outre les étapes consistant à : stocker dans des moyens de stockage de données (5) une liste desdits services, et associer, dans les moyens de stockage de données (5), à chaque service de la liste un sous-ensemble respectif desdites ressources comportant les ressources considérées comme ressources principales pour fournir ledit service ; évaluer l'impact de l'attaque potentielle sur les ressources et/ou services du système d'information ; recevoir des données de définition d'une réponse potentielle à l'attaque potentielle détectée, et déterminer, en fonction des sous-ensembles de ressources associés aux services dans lesdits moyens de stockage de données, quels seraient les services détériorés en cas de mise en oeuvre de ladite réponse potentielle ; afficher des informations indiquant l'impact évalué de l'attaque potentielle et/ou les services détériorés par ladite réponse potentielle.
  8. 8.- Procédé de cyberdéfense d'un système d'information (2) selon la revendication 7, comprenant les étapes consistant à : - prédire, en fonction d'attaque(s) potentielle(s) détectée(s), au moins une prochaine attaque potentielle et évaluer l'impact de la prochaine attaque potentielle sur les ressources et/ou services du système d'information ; - afficher des informations indiquant ladite prochaine attaque potentielle prédite et l'impact évalué de la prochaine attaque potentielle prédite.
  9. 9.- Procédé de cyberdéfense (3) d'un système d'information (2) selon la revendication 7 ou 8, comprenant les étapes consistant à : enregistrer des patrons-types d'attaques, et pour sélectionner, en fonction de nouvelle(s) attaque(s) potentielle(s) détectée(s) par le premier module, un patron-type d'attaque et pour prédire, en fonction dudit patron-type sélectionné, au moins une prochaine attaque potentielle.
  10. 10.- Procédé de cyberdéfense (3) d'un système d'information (2) selon l'une des revendications 7 à 9, selon lequel les moyens de stockage de données (5) comportent une liste d'identifiants de mission du système d'information et associent à chaque identifiant de mission une sous-liste respective de la liste des services comprenant les services considérés comme essentiels pour la mission, et l'évaluation de l'impact de l'attaque potentielle sur les ressources et/ou services du système d'information et/ou la détermination des services détériorés en cas de mise en oeuvre de ladite réponse potentielle sont réalisées en fonction des services de la sous- liste associée à l'identifiant de la mission courante du système d'information.
  11. 11.- Procédé de cyberdéfense (3) d'un système d'information (2) selon l'une des revendications 7 à 10, comprenant les étapes consistant à : - détecter d'une part des attaques potentielles du système d'information en fonction de l'analyse de données traçant des événements survenus exclusivement dans les équipements du système d'information et - détecter d'autre part des attaques potentielles du système d'information en fonction de l'analyse de données traçant des événements survenus exclusivement dans les applications du système d'information.
  12. 12.- Procédé de cyberdéfense (3) d'un système d'information (2) selon la revendication 11, comprenant l'étape consistant à fusionner en une même attaque potentielle une attaque potentielle détectée en fonction de l'analyse de données traçant des événements survenus exclusivement dans les équipements du système d'information et une attaque potentielle détectée en fonction de l'analyse de données traçant des événements survenus exclusivement dans les applications du système d'information, lorsque ces attaques potentielles détectées présentent des attributs déterminés communs.35
  13. 13.-Programme d'ordinateur à installer dans un système de cyberdéfense d'un système d'information, ledit programme comportant des instructions pour mettre en oeuvre les étapes d'un procédé selon les revendications 7 à 12 lors d'une exécution du programme par des moyens de traitement du système de protection.
FR1401462A 2014-06-27 2014-06-27 Systeme de cyberdefence d'un systeme d'information, programme d'ordinateur et procede associes Active FR3023040B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1401462A FR3023040B1 (fr) 2014-06-27 2014-06-27 Systeme de cyberdefence d'un systeme d'information, programme d'ordinateur et procede associes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1401462A FR3023040B1 (fr) 2014-06-27 2014-06-27 Systeme de cyberdefence d'un systeme d'information, programme d'ordinateur et procede associes

Publications (2)

Publication Number Publication Date
FR3023040A1 true FR3023040A1 (fr) 2016-01-01
FR3023040B1 FR3023040B1 (fr) 2016-11-04

Family

ID=51659686

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1401462A Active FR3023040B1 (fr) 2014-06-27 2014-06-27 Systeme de cyberdefence d'un systeme d'information, programme d'ordinateur et procede associes

Country Status (1)

Country Link
FR (1) FR3023040B1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200252804A1 (en) * 2017-06-11 2020-08-06 Lg Electronics Inc. V2x communication device and data communication method thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003286A1 (en) * 2002-07-01 2004-01-01 Microsoft Corporation Distributed threat management
WO2013081650A1 (fr) * 2011-11-28 2013-06-06 Hewlett-Packard Development Company, L. P. Regroupement de données d'événement par multiples dimensions temporelles

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040003286A1 (en) * 2002-07-01 2004-01-01 Microsoft Corporation Distributed threat management
WO2013081650A1 (fr) * 2011-11-28 2013-06-06 Hewlett-Packard Development Company, L. P. Regroupement de données d'événement par multiples dimensions temporelles

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Critical Controls for Effective Cyber Defense;critical-controls_4-1", ETSI DRAFT; CRITICAL-CONTROLS_4-1, EUROPEAN TELECOMMUNICATIONS STANDARDS INSTITUTE (ETSI), 650, ROUTE DES LUCIOLES ; F-06921 SOPHIA-ANTIPOLIS ; FRANCE, vol. LI, 17 April 2013 (2013-04-17), pages 1 - 88, XP014153585 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200252804A1 (en) * 2017-06-11 2020-08-06 Lg Electronics Inc. V2x communication device and data communication method thereof

Also Published As

Publication number Publication date
FR3023040B1 (fr) 2016-11-04

Similar Documents

Publication Publication Date Title
US11522882B2 (en) Detection of adversary lateral movement in multi-domain IIOT environments
US10944772B2 (en) Connected security system
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US10339309B1 (en) System for identifying anomalies in an information system
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
EP2955895B1 (fr) Système analytique d&#39;indicateur de menace
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US9258321B2 (en) Automated internet threat detection and mitigation system and associated methods
US9369484B1 (en) Dynamic security hardening of security critical functions
US10742664B2 (en) Probabilistically detecting low-intensity, multi-modal threats using synthetic events
KR20140059227A (ko) 이벤트들의 시퀀스에서의 시간적 위치에 따른 기준 베이스라인에 기초하여 이벤트들의 평가를 위한 시스템 및 방법
WO2015134008A1 (fr) Système de détection et d&#39;atténuation automatisées de menace internet et procédés associés
US20230208869A1 (en) Generative artificial intelligence method and system configured to provide outputs for company compliance
US9607144B1 (en) User activity modelling, monitoring, and reporting framework
US20230336581A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
WO2023283357A1 (fr) Priorisation intelligente d&#39;évaluation et de remédiation de vulnérabilités et d&#39;expositions communes pour des nœuds de réseau
GB2592132A (en) Enterprise network threat detection
CN109388949B (zh) 一种数据安全集中管控方法和系统
Yu et al. TRINETR: an intrusion detection alert management systems
AlMasri et al. Towards Generating a Practical SUNBURST Attack Dataset for Network Attack Detection.
FR3023040A1 (fr) Systeme de cyberdefence d&#39;un systeme d&#39;information, programme d&#39;ordinateur et procede associes
Motlhabi et al. Context-aware cyber threat intelligence exchange platform
Stutz et al. Enhancing Security in Cloud Computing Using Artificial Intelligence (AI)
De Vries Towards a roadmap for development of intelligent data analysis based cyber attack detection systems

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20160101

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10