THALES a global and trusted partner in Cybersecurity Problématique de formation des opérateurs face aux menaces Cyber : utilisation des Cyber Range C&ESAR 2017 RENNES 28 Novembre 2017 E.WEBER THALES a global and trusted partner in Cybersecurity
Les chaines de détection/réaction Cyber Face au perfectionnement des attaques les chaînes cyber se complexifient Humain Technologies Processus
Les challenges d’aujourd’hui Comment les sélectionner Où les positionner Comment les configurer Quels risques … TECHNOLOGIES Comment les recruter Comment les former Comment les entraîner Comment les évaluer Comment les motiver RESSOURCES HUMAINES PROCESSUS Comment les évaluer Comment les faire évoluer REGLEMENTATION Comment être conforme Comment le prouver
Et du côté des hackers … L’attaque massive L’attaque furtive Rapide Destructive Nécessite la mise en place d’actions réflexes pour protéger le réseau L’attaque furtive Discrète Noyée dans les flux légitimes du réseau Temps long Nécessite l’analyse d’une grande quantité d’information pour la détecter
Cyber Range définition Environnements de « simulation » qui permettent de recréer virtuellement des systèmes informatiques complexes en conservant un très haut niveau de réalisme Evaluation Recherche Entrainement Cyber Range
Cyber Range Architecture Entrainements Challenge Définition scenarios Administration Stockage Access management Virtualisation Interconnexion de systèmes Générateur de trafic Lien avec la CTI Produits réels Création de topologies et scénarios Gestion des étudiants Maintenance Topologies réseau Malware Pack Cybels Range Architecture is divided in 3 main parts: a Core Platform, the Functionalities and the Usage The Core platform has 3 main components: 1. The platform can virtualize the environment with 90/99% approximation to the reality 2. Simulate the legitimate traffic in which malicious attack can be hided, in simulations operators will be asked to find what is legitimate and what is malicious traffic 3. The platform is able to integrate in his environment real products to have an even higher realistic simulation
L’analogie avec le simulateur de vol Former les pilotes pour les habituer à réagir aux situations imprévues Sans risques pour les personnes ou les appareils À un prix inférieur. Se confronter à la réalité d’une attaque dans un monde immersif sans attendre de la rencontrer dans la réalité Apprendre comment réagir face à l’attaque Gagner en expérience et connaissance impossible à acquérir autrement Sans risque sur le réseau de production En maîtrisant les coûts de formation des opérateurs
Le framework NIST Identifie Protège Détecte Répond Répare
Le framework NIST Identifie Protège Détecte Répond Répare Tests de produits Tests d’architecture
Le framework NIST Identifie Protège Détecte Répond Répare Tests de produits Tests d’architecture Formations Entrainements Challenge
Le framework NIST Identifie Protège Détecte Répond Répare Tests de produits Tests d’architecture Formations Entrainements Challenge Test du plan de remédiation
L’intérêt d’utiliser un Cyber Range Tests TECHNOLOGIES Organisation de challenge Formation Entrainement Organisation d’exercices RESSOURCES HUMAINES PROCESSUS Organisation d’exercices REGLEMENTATION Entrainements/tests
Exemple concret Formation des opérateurs de communications d’une frégate Equipement radio SCADA AUT
La réglementation RGPD L’obligation de documenter toutes les mesures et procédures en matière de sécurité des données. Le renforcement des mesures de sécurité. Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (« pseudonymisation » des données, analyses d’impact, tests d’intrusion…). La mise en avant du principe de « Privacy By Design ». prendre toutes les mesures permettant de protéger les droits des personnes en amont (= dès la conception d’un produit ou d’un service) et tout au long du cycle de vie des données (de leur collecte à leur suppression). L’encadrement des sous-traitants. Les entreprises devront choisir des sous- traitants présentant des garanties suffisantes. En cas de faille de sécurité au niveau du sous-traitant, ce sera l’entreprise cliente (= le responsable des traitements) qui sera tenue pour responsable. Le RGPD instaure en fait un régime de coresponsabilité des sous-traitants. La notification en cas de faille de sécurité (data breach). Les entreprises auront pour obligation de mettre en place des actions en cas de violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée. En cas de faille de sécurité, l’entreprise devra la notifier à l’autorité de régulation compétente (en France, la CNIL) dans un délai de 72h. Dans certains cas les tests d’intrusions sont compliqués à mettre en œuvre : remplacement par des tests sur CR Formation et entrainement sur CR Le maître d’œuvre peut demander des entrainements et de la formation des opérateurs sur CR
Conclusions Cyber Range : une brique nécessaire dans l’arsenal Cyber pour répondre à l’évolution constante des attaques. Les formations, entraînements, exercices complètent pour l’aspect humain : Les audits d’homologation Les tests d’intrusion Le maintien en condition de sécurité (MCS) Une certification sur Cyber Range doit être envisagée dans le cadre de la réglementation
Les challenges pour demain Comment garantir la qualité des entrainements sur CR Définir des modèles d’évaluation et de certification nationaux Evaluer individuellement en conservant l’esprit d’équipe « La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information. » (Albert Einstein)
Ce qu’il ne faut plus faire
Questions ?