Close

L’hypervision au service de la cyberdéfense

L’hypervision est la capacité de disposer d’une vision actualisée et globale du système d’information pour faciliter la détection et la réponse à incidents. L’hypervision est différente de la supervision en ce qu’elle procède à l’agrégation, au croisement et à la corrélation de nombreuses données techniques et métiers. En matière de cyberdéfense militaire, l’hypervision vise à donner aux opérationnels une vision large de l’état de fonctionnement de leurs systèmes. Une réflexion est en cours au sein des Armées pour intégrer de tels outils, qui ont déjà été testés. Toutefois, des investissements humains et financiers restent nécessaires pour un passage à l’échelle et une utilisation généralisée.

1. L’hypervision : une réponse à des systèmes de plus en plus complexes

L’émergence de l’hypervision, tant dans le secteur civil que militaire, répond à plusieurs besoins :

  • représenter simplement des réalités de plus en plus complexes et mouvantes (situational awareness) ;
  • croiser et corréler des typologies de données très différentes, comme les données topologiques sur le réseau, les données de situation, les données métiers, etc. : c’est ce croisement qui marque la différence avec une simple supervision ;
  • pouvoir utiliser le flux de données généré par l’hypervision à des scénarios de risque, afin de détecter au plus tôt tout incident ;
  • pouvoir partager différentes vues d’une même situation afin de faciliter les réponses aux incidents sur l’ensemble du périmètre hypervisé.

L’hypervision répond aux défis posés par la transformation numérique de l’ensemble des processus et activités et à la présence croissante de systèmes cyber-physiques. Elle répond également à la sophistication de la menace cyber, qui crée constamment de nouveaux besoins. Sur le plan technologique, de nouvelles solutions d’automatisation et de simulation commencent à apporter des réponses intéressantes grâce à l’Intelligence Artificielle.

2. Les composantes de l’hypervision

Contrairement à la supervision, l’hypervision fédère des domaines fonctionnels multiples. Une fois ce prérequis intégré, l’hypervision s’opère de la façon suivante :

  • collecte des données en continu grâce à des capteurs déployés sur l’ensemble des réseaux ;
  • traitement et analyse des données collectées : celles-ci sont structurées et corrélées ;
  • visualisation des données : cela passe nécessairement par leur modélisation (selon le contexte : modélisation réseau, modélisation de bâtiments, etc.) ;
  • représentation des informations : représentation de la réalité complexe grâce à un certain nombre de symboles définis au préalable entre les différents utilisateurs ;
  • exploration et navigation : ces fonctionnalités facilitent l’immersion de l’utilisateur dans la représentation et lui permettent de naviguer dans les différentes strates ;
  • orchestration : l’orchestration passe par l’automatisation d’un certain nombre de procédures, qui se déclenchent plus ou moins automatiquement selon les domaines ;
  • l’hypervision intègre également des fonctionnalités de travail collaboratif et de simulation, afin de pouvoir injecter des événements dans le dispositif et voir comment le système réagit par rapport à ces événements.

3. L’hypervision dans les Armées

Au sein du ministère des Armées, plusieurs entités assurent aujourd’hui les opérations de cyberdéfense des réseaux et systèmes d’information :

  • les SOC (Security Operation Centers) locaux, dont certains sont sous-traités, qui assurent la supervision d’une entité donnée ;
  • le CALID (Centre d’analyse de lutte informatique défensive), qui supervise l’ensemble des chaînes de détection du Ministère et génère ainsi une capacité d’hypervision ;
  • les groupes d’intervention cyber (GIC), mis en place de façon ad hoc pour la réponse à incidents;
  • le Centre des opérations cyber (CO-CYBER), qui assure la conduite des opérations « cyber » en contextualisant la situation à l’aide d’informations fournies par d’autres acteurs (services de renseignement, alliés, forces armées sur le terrain, etc.) pour l’établissement et la mise à jour d’une « situation cyber de référence » (cyberpicture).

 

En 2017, un Commandement de cyberdéfense (COMCYBER) a été créé afin de répondre aux enjeux croissants de cybersécurité auxquels la France fait face. Le COMCYBER est placé sous l’autorité du Chef d’État-major des Armées. Interarmées, ce commandement rassemble dans une même chaîne fonctionnelle les forces de cyberdéfense des trois armées françaises. Le COMCYBER est composé d’un état-major (EM-CYBER) d’un centre opérationnel CYBER (CO-CYBER).

Le développement des capacités d’hypervision au sein des armées passera par une interactivité renforcée entre les niveaux tactique et stratégique, afin de créer des capacités de réponses coordonnées aux incidents, tout en étant économes en ressources rares (expertise et ressources réseau).

La mise en place de ces capacités devra se faire de manière progressive. L’établissement d’une doctrine pour encadrer et guider les pratiques sera également nécessaire pour mettre en œuvre l’hypervision. Cette doctrine devra être en mesure de s’adapter en continu aux évolutions des solutions technologiques en la matière.

4. Deux solutions d’hypervision : EGIDIUM et HYPERVISION TECHNOLOGY

Les sociétés EGIDIUM et HYPERVISION TECHNOLOGY proposent des solutions d’hypervision adaptées au besoin des Armées.

EGIDIUM : Smart Shield et ISAP

EGIDIUM est une PME créée en 2009 à partir d’une technologie issue du groupe AIRBUS. Elle édite Smart Shield1, une solution logicielle d’hypervision qui a vocation à améliorer la surveillance et la protection des emprises civiles ou militaires. Smart Shield permet de modéliser et de visualiser des emprises (maquettes 3D, plans 2D, cartographies, etc.) et à y insérer des informations issues des capteurs connectés (caméras, serrures connectées, détecteurs, etc.). Les systèmes d’information peuvent également être hypervisés avec Smart Shield Smart en les connectant à la plateforme, qui devient alors un hyperviseur physique et logique. Smart Shield est basé sur la plateforme logicielles ISAP (Integrated Security Automation Platform)2. ISAP connecte les capteurs, fusionne l’ensemble des données collectées et les structure avant de les restituer de manière contextuelle à l’interface Smart Shield. ISAP offre à l’“hyperviseur“ la possibilité de percevoir la situation d’un espace donné, de savoir quelles sont les ressources déployées, quel est l’état du système et comme il est possible d’intervenir de la manière la plus efficace possible en cas d’incident. La plateforme est très ouverte : elle peut s’interfacer avec l’ensemble des capteurs et des systèmes existants. Smart Shield permet l’échange d’informations entre des structures qui n’ont ni la même organisation, ni le même langage : il est en effet capable d’analyser des vidéos, des images, mais également des sons, des logs, etc. La solution intègre également une fonction d’aide à la décision, basée sur des outils tels que des alarmes, des typologies d’incidents ou encore des relectures de vidéos et du tracking de cibles. EGIDIUM fournit notamment sa solution Smart Shield à l’APOC (Airport Operations Center) d’Orly et au SIAE.

Retrouvez la présentation d’Egidium aux Rencontres Cyberdéfense et Entreprises du 7 décembre 2018: Egidium_FR_2018-V4 JOURNEECYBER

 

HYPERVISION TECHNOLOGY : Yuno

HYPERVISION TECHNOLOGY édite la solution logicielle Yuno3, décrite par son fondateur, Xavier Laszcz, comme une “plateforme d’orchestration de réponse aux incidents et aux menaces“. Yuno analyse en continu et en temps réel des données hétérogènes en provenance de sources diverses afin d’identifier les risques et les anticiper. HYPERVISION TECHNOLOGY est basée sur l’interconnexion de tous les processus métiers :

  • ressources informatiques (datacenters, serveurs, bases de données, etc.) ;
  • supervision informatique et cyber : surveillance des ressources informatiques et alerte en cas d’incidents ;
  • centre de contrôle : analyse des alertes et déclenchement des actions curatives ;
  • techniciens : exécution des actions de résolution sur le terrain.

Si un service entrant dans le périmètre de surveillance reçoit un email malveillant, Yuno va le détecter et isoler l’ordinateur. Le processus suivant se mettra alors en marche :

[1] https://www.egidium-technologies.com/fiche-solution-smartshield/

[2] https://www.egidium-technologies.com/isap/

[3] https://www.hypervision-technology.com