SOCCRATES automatise la cybersécurité des systèmes industriels

SOCCRATES est un projet européen H2020 lancé en septembre dernier pour une durée de trois ans. Son objectif est la mise au point d’une plateforme permettant d’automatiser la détection de certaines attaques et le lancement des contre-mesures adaptées. Ce faisant, il doit permettre aux opérateurs de cybersécurité des systèmes industriels d’être plus efficaces et plus rapides dans leurs réponses en cas de cyberattaque.

Hervé Debar, chercheur en sécurité des systèmes d’information à Télécom SudParis, nous explique comment le consortium de recherche dont fait partie son école s’y prendra pour développer cette solution.

En quoi consiste la plateforme SOCCRATES ?

Hervé Debar : La plateforme SOCCRATES est un environnement de « Security Information and Event Management » (SIEM), qui a pour but de mieux détecter et bloquer les attaques informatiques. Pour ce faire, la plateforme collecte des données relatives aux vulnérabilités présentes sur le système surveillé, à l’activité malveillante qui cible l’environnement informatique, ainsi que des informations globales sur la menace. Elle propose ensuite des contre-mesures adaptées aux attaques détectées, et permet de les déployer.

À quels besoins des entreprises et organisations en matière de cybersécurité cette plateforme entend-elle répondre ?

HD : Les plateformes SIEM forment le cœur des Security Operating Centers (SOC), où des opérateurs traitent la menace informatique. Tous les opérateurs d’infrastructures critiques doivent surveiller leurs systèmes d’information : c’est une obligation réglementaire nationale et européenne. Face à l’accroissement de la menace, la plateforme SOCCRATES vise à apporter un degré supplémentaire d’automatisation. Cela permet de traiter les attaques plus rapidement et plus précisément. Les opérateurs peuvent alors se concentrer sur les attaques les plus complexes.

Quelle est votre démarche pour parvenir à mettre au point cette plateforme ?

HD : Le projet se focalise globalement sur la problématique de la connaissance apportée aux opérateurs SOC pour faire face aux attaques. Cette connaissance prend trois formes. La première forme est une meilleure connaissance du système d’information surveillé, et des chemins d’attaque qui peuvent être exploités pour parvenir à compromettre une cible vulnérable. Bloquer les chemins d’attaque les plus faciles permet de limiter la propagation de l’attaquant dans le système. La deuxième forme de connaissance est apportée par la connaissance de la menace. Cela consiste à observer des phénomènes d’attaque sur Internet afin d’améliorer les mécanismes de détection en place. La troisième forme de connaissance concerne les impacts métiers d’une attaque, pour évaluer le risque apporté par les contre-mesures, et les bénéfices en matière de limitation de l’impact de l’attaque.

Quelle expertise les chercheurs de Télécom SudParis apporteront-ils dans ce projet ?

HD : Nous apportons notre expertise en matière de remédiation aux attaques informatiques, issue notamment des projets européens FP7 MASSIF et PANOPTESEC. Ces deux projets lancés en 2013 et 2014 nous ont permis d’acquérir une connaissance forte en matière de cybersécurité industrielle, de management des attaques et de déploiement de contre-mesures. Nous apportons un modèle de réponse qui permet d’évaluer de manière quantitative l’effet — positif ou négatif — des remédiations proposées pour bloquer les attaques.

Lire l'intégralité de l'article d'origine sur I'MTech, le blog de l'IMT.