Cybersécurité, les standards au service de l’efficacité


- par Arnaud Lorgeron -


CS pilote le projet SECEF (SECurity Exchange Format) qui vise à promouvoir et améliorer les standards d’échanges de cybersécurité, avec le soutien du Ministère de la Défense (via le fond d’aide à l’innovation, RAPID) et de l'ANSSI.

En collaboration avec des experts académiques de Telecom Sud Paris et Centrale-Supélec, ce projet a pour principaux objectifs d’optimiser et de promouvoir les formats IDMEF (Intrusion Detection Exchange Message Format - RFC 4765) et IODEF (Incident Objet Description Exchange Format - RFC 5070) au sein de l'industrie de la sécurité.

L’utilisation de ces standards est essentielle aux administrations et entreprises et en particulier aux organismes d’importance vitale (OIV) pour une coordination et une collaboration active en cas de cyberattaques.

Dans le domaine de la cyber-détection est exigée la standardisation pour :
  • Les communications entre les différents outils et solutions de sécurité afin de consolider et corréler les alertes d'intrusion ;
  • Les communications entre les différentes équipes de centres de sécurité afin de partager leurs informations sur les incidents et les tentatives d'intrusion.
Pourquoi des formats standards ?

Alors que d’une part les cybercriminels s’organisent et se coordonnent, et que d’autre part les attaques hier unitaires deviennent nationales, force est de constater que les acteurs concernés peinent à s’entendre.

La coordination des forces de cyberdéfense est pourtant un facteur potentiel d’efficacité (donc de réduction de coût). En outre, comme chacun sait, la détection d’intrusion est l’un des piliers de la cyberdéfense. L’objectif de la détection d’intrusion est en effet d’alerter l’exploitant le plus tôt possible avant l’attaque.

Par ailleurs, les contraintes réglementaires incitant à agir en ce sens sont multiples. La Loi de Programmation Militaire (LPM 2014-2019) définit plus de deux cents Opérateurs d’Importance Vitale sur le territoire français. La directive européenne Network and Information Security (NIS) s’applique quant à elle, à l’échelle continentale.

Les obligations induites concernent chaque fois la détection et la gestion des risques, la notification des incidents, et les mesures de sécurité et d’audit. Au sein d’une même entité ou entre plusieurs entités, il faut transmettre les informations en cas d’incident. Mais certains éléments restent flous : le contenu de cette transmission et le moyen de transmission.  C’est l’objet du projet SECEF.

 


Des centres d'excellence technologiques