CS : le pari IDMEF pour promouvoir un "SMTP remontées d'incidents" dédié aux OIV

Rencontre: Thomas Girard Directeur Département Cybersécurité CS

 

Acteur incontournable sur le marché des OIV, CS a "découvert" le rapprochement entre Thales et Cisco aux Assises 2016 mais refuse de le commenter. En revanche,  CS place beaucoup d'espoirs dans ses efforts de normalisation autour du programme IDMEF. 

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 Scada :

« A notre niveau d'intégrateur, on ne contrôle pas directement les COTS, sauf les couches liées à la supervision (niveaux 2 & 3). L'ensemble des autres couches et composants doit envoyer des informations au niveau supervision d’où la nécessité de définir un format, sorte de standard d’échange pour remonter ces données. L’approche n'est pas simple puisqu'elle suppose d'intégrer les spécificités sectorielles comme celles propres au monde nucléaire par exemple.»

 

Standards :

« Notre nouveau programme d'alliance IDMEF Partner Programpermet de favoriser l’interopérabilité en matière de cyber sécurité autour de deux standards IDMEF et IODEF ; et répondre ainsi aux nouveaux enjeux des opérateurs d’importance vitale (OIV) confrontés à certaines exigences réglementaires LPM (Loi de programmation militaire) et RGPD (règlement européen). L'idée est de construire aujourd’hui une équivalence en termes d’interopérabilité en cybersécurité , à ce qu’a été SMTP à l’interopérabilité des messageries dans les années 90.»

 

Solutions :

« Une version 2 de notre standard IDMEF existe depuis août 2016 et est désormais implémentée par les 7 acteurs ayant déjà rejoint notre IDMEF Partner Program. Il s'agit en pratique d'ajouter quelques lignes de codes afin d'offrir cette compatibilité (les librairies sont disponibles) dans les échanges au niveau des formats des messages, facilitant ainsi l’intégration et l’exploitation pour l’utilisateur final. Concernant le contenu, l'ensemble est chiffré via des standards cryptographiques du marché.»

 

Remontées d'incidents :

«Un autre format propre aux remontées d'incidents via une partie de notre standard se nomme IODEF (Incident Object Description Exchange Format) Ce nouveau standard va favoriser les échanges en matière de cyber-détection et remontées d'incidents via n'importe quelle plate-forme SOC / SIEM compatible avec ce standard.»

 

 

Chiffrement :

« Aujourd'hui les méthodes de chiffrement sont basées sur des fonctions mathématiques difficilement inversibles. Avec l’avènement des méthodes basées sur les calculs quantiques, il sera possible de les résoudre facilement. Autrement dit, tous les algorithmes de chiffrement actuels (RSA, etc.) seront dépassés car leurs résultats seront compromis. Il s'agit de résister aux procédures de résolution mathématiques à l’aide de machines quantiques. L’horizon peut être relativement court, 10 ou 20 ans, pour atteindre un nombre de « qbits » suffisants. C'est sur quoi nous travaillons actuellement chez CS ».

Propos recueillis par @jpbichard Cyberisques News

 

*Depuis 2014, CS pilote le projet SECEF (Security Exchange Format), en partenariat avec TelecomSudParis et CentraleSupelec, sous la direction de la DGA Maitrise de l’Information et en collaboration avec le COSSI (Centre Opérationnel de la Sécurité des Systèmes d'Information) de l'ANSSI. Ce projet vise à promouvoir et à améliorer les 2 standards existants (IDMEF- Intrusion Detection Message Exchange Format et IODEF- Incident Object Description Exchange Format) pour favoriser les échanges en matière de cyber-détection.

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

Rappels :

2013: http://www.cyberisques.com/index.php?option=com_content&view=article&id=113&Itemid=610

 

Communication corporate: 

le 3 octobre 2016 – Suite à de la deuxième édition du SECEF DAY organisé fin septembre à Paris, CS annonce le lancement de son nouveau IDMEF Partner Programpermettant de favoriser l’interopérabilité en matière de cyber sécurité et répondre ainsi aux nouveaux enjeux des opérateurs d’importance vitale (OIV).

Depuis 2014, CS pilote le projet SECEF (Security Exchange Format), en partenariat avec TelecomSudParis et CentraleSupelec, sous la direction de la DGA Maitrise de l’Information et en collaboration avec le COSSI (Centre Opérationnel de la Sécurité des Systèmes d'Information) de l'ANSSI. Ce projet vise à promouvoir et à améliorer les 2 standards existants (IDMEF- Intrusion Detection Message Exchange Format et IODEF- Incident Object Description Exchange Format) pour favoriser les échanges en matière de cyber-détection.

CS travaille ainsi à l’adoption de ces standards dans les solutions de sécurité. Dans ce cadre, l’IDMEF Partner Program consiste à assister les éditeurs de sondes de sécurité à rendre leur produit compatible au format IDMEF en lien avec le SIEM PRELUDE pour faciliter la remontée des alertes.

Lors du SECEF DAY ’16, 4 partenaires étaient présents pour présenter leur solution et démontrer leur interopérabilité avec Prelude SIEM grâce au format IDMEF :

  • NIDS haute performance : Stamus Networks
    Stamus Networks est un éditeur de sondes de détection d'intrusion réseau haute performance offrant des capacités d'extraction de données protocolaires ainsi qu'une administration centralisée.

  • Global SSO : ILEX - Sign&Go
    La solution Sign&go est modulaire et offre des fonctionnalités d’authentification renforcée, de Web Access Management, de Mobile Access Management, de fédération d’identités et de eSSO (ou « Enterprise Single Sign-On »).  C’est le premier produit de Global SSO.

  • Anti-DDoS : 6cure Threat Protection
    La solution 6cure TP permet d'éliminer en temps réel les trafics malveillants à destination des services critiques avec une philosophie simple : préserver l'intégrité et la performance des flux légitimes.

  • Anti-virus : Teclib' - Armadito
    Armadito est un tout nouveau projet d'antivirus open source modulaire et multiplateformes (Linux et Windows), qui fournit détection par signatures et modules d'analyse heuristiques. Une solution d'administration centralisée basée sur GLPI est en développement.

Trois nouveaux partenaires ont d’ores et déjà annoncé leur volonté de rejoindre le programme :

  • Darktrace, leader mondial de la technologie “Enterprise Immune System”, basée sur l’auto-apprentissage et des mathématiques Baysiennes

  • Quarslabs et leur solution de détection et d'analyse de malware IRMA (Incident Response & Malware Analysis). »

  • Sentryo et leur sonde de détection des réseaux machine-to-machine et des systèmes industriels critiques.

"La mise en place de ce réseau de partenaires nous permet de fédérer les acteurs de l'industrie Cybersécurité français autour d'un objectif commun : favoriser l’interopérabilité pour une cyberdéfense plus efficace. Cette collaboration s’inscrit dans une relation gagnante pour tous les acteurs : Prelude SIEM élargit le panel déjà important de sondes open-source compatibles IDMEF, les partenaires éditeurs s’intègrent plus facilement avec le SIEM français de référence et enfin le client final bénéficie d’un déploiement et d’exploitation de solutions de supervision de sécurité grandement simplifié." résume Gilles Lehmann, Responsable Prelude SIEM et porteur du projet SECEF.

Pour plus d’informations sur le projet SECEF : www.c-s.fr, www.secef.net et www.prelude-siem.com

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires