Close

L’innovation en défense cyber : le modèle américain

Rapidité des progrès technologiques, évolution permanente des menaces, urgence et diversité des besoins opérationnels : s’il y a un domaine dans lequel les cycles d’innovation et de « Time to Market » doivent être accélérés, c’est bien la cybersécurité. Un constat qui a poussé le ministère des Armées à inaugurer à Rennes le 3 octobre 2019 la Cyberdéfense Factory, avec l’objectif de stimuler le développement de solutions de cybersécurité innovantes au profit du Commandement de la cyberdéfense.

Au cœur de cette « fabrique digitale » pilotée par la Direction générale de l’Armement (DGA), un « Data Lake » permettant aux différents acteurs impliqués (ministères, ESN, startups, centres de recherche…) de partager des « données d’intérêt cyber ». Un modèle déjà testé depuis quelques mois aux États-Unis avec DreamPort[1], le « Mission Accelerator » lancé par l’US Cyber Command en mai 2018, en partenariat avec le Maryland Innovation & Security Institute (MISI). On peut également citer le modèle britannique qui repose notamment sur deux Cyber Innovation Centers, ouverts en 2017 et 2018 au sein du Cyber Accelerator Programme du GCFQ dans le but de faciliter la collaboration entre les grands acteurs industriels, les start-ups et des experts du secteur pour favoriser l’innovation en cybersécurité. En Israël, la création de toutes pièces, au milieu du désert à Beer Sheva, d’une ville entière dédiée à la cybersécurité, procède encore d’un autre modèle.

Cette diversité d’initiatives de natures, d’objectifs et de maturité différentes, reflète la prolifération des projets et structures dédiés à l’innovation de cyberdéfense. L’exemple américain, le plus abouti, a à ce titre servi de modèle à maintes reprises.

  • DreamPort, bras armé de l’US Cyber Command

Installé à Columbia (Maryland), DreamPort est la version « cyber » de SoftWerx[1],  partenariat public-privé du Special Operations Command américain ouvert en 2016. Avec une superficie de 1 500 m², et de 3 000 m² depuis juillet 2019, le centre est d’abord un lieu physique constitué de bureaux, de salles de conférence, de salles de réunions et de plusieurs labs. C’est également un environnement technique permettant aux entreprises de présenter, de tester et d’intégrer rapidement des prototypes et des solutions.

  • Animer la filière et soutenir le développement de l’écosystème

Parmi les missions de DreamPort : animer la filière et favoriser le développement de l’écosystème. C’est dans ce contexte que le « Mission Accelerator » organise deux fois par an des événements dédiés à la filière cybersécurité. À côté de séminaires de sensibilisation, il accueille surtout la AvengerCon, événement de référence de la communauté cyber militaire américaine, dont la 4ème édition a eu lieu les 17 et 18 octobre 2019.

  • L’innovation par l’expérimentation

Le dispositif permet également l’organisation régulière de Rapid Prototyping Events (RPE), des hackathons de 3 à 4 jours sur des « défis » lancés par l’US Cyber Command. Les règles[2] sont simples : pas d’information classifiée ; les participants sont libres d’utiliser toutes les technologies qu’ils souhaitent, y compris des technologies propriétaires, dès lors qu’ils ne violent pas les accords de confidentialité (NDA) et dispositions en vigueur dans leurs entreprises. DreamPort se réserve en revanche la possibilité de communiquer les outils et méthodes utilisés en « open source » par la suite. Il s’agit par ailleurs de compétitions de technologies et non pas de « Capture the Flag ».

Deux exemples de RPE organisés par DreamPort depuis sa création :

  • Le challenge « The Chameleon & the Snake »[3], organisé en septembre 2018 et mai 2019, sur le thème de la diversité de signature des malwares et de leur évaluation dans Microsoft Windows. Le challenge comprenait à la fois un volet « attaquant » qui consistait à créer un outil permettant d’altérer la signature d’un outil sans changer ses fonctionnalités et un volet « défenseur » dont l’objectif était au contraire de développer un outil permettant de détecter automatiquement un exécutable inconnu dans Windows. La compétition a été gagnée en septembre 2018 par les sociétés Northrop Grumman pour la partie « défense »[4] et Draper pour le volet offensif, Crowdstrike obtenant également une mention « honorable » en défense[5].
  • Le challenge « The Wolf in Sheep’s Clothing »[6] organisé en janvier et février 2019, dont l’objectif était de concevoir des solutions User Activity Monitoring (UAM) pour détecter en temps réel des attaques ou activités non autorisées. Au cœur du problème : le développement de capacités d’analyses prédictives sans configuration préalable et non basées uniquement sur un moteur de règles. Vainqueurs : Jazz Networks[7], IBM, Booz Allen et LogicHub. Les participants bénéficiaient pour cela d’un environnement Windows et Linux mis en place par DreamPort.

  • Orienter le développement capacitaire

Au-delà des Rapid Prototyping Event, DreamPort a aussi pour objectif d’orienter sur le moyen terme les travaux de R&D du secteur privé autour des grandes priorités, déterminées dans une liste de challenges techniques définis sous l’égide du J9 de l’US Cyber Command. Le document publié en mars 2019[8] distingue les capacités fonctionnelles (la recherche de vulnérabilités et l’analyse de malware) et les « Enabling Technologies », comme le Machine learning.

À noter que la Defense Information Systems Agency (DISA) lance également régulièrement des appels à contribution[9].

  • La gouvernance des données, nouvel enjeu de l’innovation de défense cyber.

L’innovation en matière de cyberdéfense, notamment en matière d’intelligence artificielle, se heurte cependant à la profusion et à l’éclatement des données disponibles. Le général de corps armée Jack Shanahan, chef du Joint Artificial Intelligence Center (JAIC), constate ainsi que le Department of Defense (DoD) a 24 fournisseurs de données cyber qui utilisent chacun des formats différents[10]. 80% du travail consiste à labelliser et préparer les données, souligne le général Shanahan. C’est la raison pour laquelle le JAIC, en partenariat avec la National Security Agency (NSA) et l’US Cyber Command, travaille à l’élaboration d’un « Data Governance Framework » ou schéma de gouvernance des données cyber sur le modèle de ce qui a déjà été fait sur le projet Maven (exploitation de l’intelligence artificielle en matière d’analyse vidéo).

 De la profusion à la confusion ?

Ce schéma est d’autant plus nécessaire que le nombre de hubs dédiés à l’innovation au sein du DoD a explosé ces dernières années : 25 consortiums de type PIA (Partnership Intermediary Agreement – support contractuel utilisé notamment par DreamPort pour recourir aux services d’un acteur privé pour l’animation d’un hub), 16 accords de partenariat public-privé, plus de 100 agences dédiées à l’innovation, etc. Sur ce total, 20 seraient dédiées à des thématiques « cyber »[11].

 

[1] https://dreamport.tech/index.php

[2] https://dreamport.tech/RPE005/DreamPort-RPE-005-Introduction-02.pdf

[3] https://dreamport.tech/event-rpe-001-the-chameleon-and-the-snake.php

[4] https://news.northropgrumman.com/news/releases/northrop-grumman-cybersecurity-team-wins-the-dreamport-rapid-prototyping-competition

[5] https://www.fbcinc.com/e/cyberusa/presentations/DadeScottUnitedStatesCyberCommand.pdf

[6] https://dreamport.tech/event-rpe-003-the-wolf-in-sheeps-clothing.php

[7] https://www.jazznetworks.com/blog/dreamport-winner/

[8]https://www.cybercom.mil/Portals/56/Documents/Technical%20Outreach/Technical%20Challenge%20Problems.pdf?ver=2019-07-02-151118-497

[9] https://dreamport.tech/call-for-white-papers.php

[10] https://www.defenseone.com/technology/2019/09/pentagon-nsa-laying-groundwork-ai-powered-cyber-defenses/159650/

[11] https://www.govexec.com/technology/2019/09/so-many-innovation-hubs-so-hard-find-them/159798/