L’IRT SystemX veut rassembler les industriels français autour de CHESS, sa plate-forme numérique de cyberdéfense

Clap de fin pour le projet de recherche Environnement pour l’interopérabilité et l’intégration en cybersécurité (EIC), dédié à la sécurité des infrastructures connectées industrielles, de l’Institut de recherche technologique (IRT) SystemX.

Après cinq ans de collaboration avec deux partenaires académiques (CEA et Télécom SudParis/IMT) et sept industriels (Airbus, Airbus Defence & Space, Bertin IT, Engie, Gemalto, Prove&Run, Thales), clos le 18 mai dernier, l’institut a pu développer la plateforme Cybersecurity Hardening Environment for Systems of Systems (CHESS), un ensemble de briques logicielles hébergées sur le site de l’IRT à Palaiseau qui concourent toutes à un même objectif : « Simuler et analyser les "systèmes du futur" pour pouvoir identifier des failles de sécurité, modéliser des attaques et tester des stratégies de protection et des technologies de défense », indique Reda Yaich, responsable de l’équipe sécurité numérique au sein de l’IRT SystemX.

Derrière le vocable « systèmes du futur » se cachent quatre domaines d’application : l’internet industriel des objets (IIoT), le véhicule connecté, l’usine du futur (automatisation, gestion des mises à jour, maintenance prédictive…) et les smart-grids.

Labellisée par le Comité de la filière industrielle de la sécurité (CoFIS) et par l’Agence française de sécurité des systèmes d’information (Anssi) – qui a financé le projet EIC à hauteur d’un million d’euros – la « plateforme de confiance » CHESS, aujourd’hui constituée d’une multitude de logiciels très hétérogènes, doit maintenant se transformer en véritable « offre de services pour pouvoir la partager aux acteurs cyber franciliens et peut-être au-delà », assure Reda Yaich. L’IRT SystemX s’est engagé auprès de l’Anssi pour que CHESS continue à fonctionner pendant 5 ans après la clôture du projet EIC.

Des briques technologiques bientôt regroupées dans une seule offre de service

Dans CHESS, on trouve des catalogues d’attaques, un système de détection d’intrusion (IDS, en anglais), des démonstrations résultant des preuves de concept réalisées au sein d’EIC, mais aussi des briques logicielles très spécifiques, développées de concert avec un ou plusieurs des partenaires du projet :

• Un service de chiffrement homomorphe, développé par le CEA « pour permettre le traitement sécurisé et confidentiel de données générées par des objets connectés, comme un badge ou une caméra de surveillance, dans le cloud », précise Reda Yaich. Celui-ci pourrait permettre, à terme, « de faire de la maintenance à distance en transférant dans le cloud les données chiffrées d’un équipement industriel pour qu’elles soient analysées par un prestataire sans compromettre la confidentialité des données qu’il génère ». Naval Group est intéressé.
• Une passerelle sécurisée dédiée à l’échange de données sensibles, à l’origine du produit Crypto Crossing, commercialisé par Bertin IT, partie prenante du projet EIC, et l’éditeur de logiciels de cybersécurité Wallix.
• Un logiciel d’anonymisation de données à la volée : « C’est un oracle disposé en amont d’une base de données et guidé par une réglementation (directive de la Commission nationale de l'informatique et des libertés (Cnil), RGPD…), capable de transmettre ou non les données anonymisées nécessaires à une requête faite par un opérateur », détaille Reda Yaich.
• Un service de mise à jour sécurisée grâce à la blockchain, développé sur plusieurs cas d’usages dans le cadre d’EIC, comme un parc de plusieurs milliers d’automobiles ou encore les compteurs d’Engie.

« Chaque brique a été développée de manière indépendante, bien que nous ayons développé une interface homme-machine qui permette d'accéder à l'une ou à l'autre, rappelle Reda Yaich. Nous avons entamé un travail pour les unifier et les organiser autour d'un orchestrateur. »

Simuler des cyberattaques sur des réseaux IT… et bientôt OT

Enfin, la plateforme CHESS permet aussi de simuler le trafic sur l’ensemble d’un système d’information d’entreprise (IT) « afin d’y injecter des codes malveillants – en Python ou avec l’aide de programmes fournis par le site de tests de pénétration informatique Metasploit ou encore les attaques connues et répertoriées par l’entreprise américaine Mitre ou la plate-forme européenne open source Malware Information Sharing Platform (MISP) ». Cette preuve de concept a été développée à la demande de Thales, notamment.

Au temps du projet EIC, les équipes de l’IRT SystemX s’étaient essayées au même exercice pour les réseaux industriels (OT), mais uniquement avec un réseau témoin, « une baie industrielle qui mime le comportement d’une station de traitement des eaux », précise Reda Yaich. « Ce sur quoi nous travaillons aujourd’hui consiste à combiner un système d’information industriel – cette fois opérationnel et non un simple réseau témoin – et un système IT classique pour affiner les scénarios de simulation, au plus proche de ce qui se passe en réalité. »

CHESS, future plate-forme de référence pour la cybersécurité industrielle en France ?

A terme, l’IRT SystemX veut aussi que CHESS devienne la plate-forme de référence en cybersécurité industrielle et « rassemble une communauté dont les membres développeront encore de nouvelles briques, hors d’EIC, et partageront leurs connaissances à la fois sur les attaques et sur la protection de leur environnement informatique ».

En attendant que CHESS 2.0 soit présentée lors de la 15e édition de la Conférence internationale sur les risques et la sécurité d’internet et des systèmes d’information, qui se tiendra du 4 au 6 novembre prochains à Paris, les équipes cyber de l’IRT SystemX se sont déjà remobilisées sur le projet Ports du Futur Sécurisés (PFS) avec Naval Group IDnomic et l’IMT, et le projet européen Secure Collaborative Intelligent Industrial Assets (SeCoIIA), avec Airbus Cybersecurity, Continental, Naval Group ou encore Forescout – tous deux commencé fin 2019.

Sélectionné pour vous

L'IRT SystemX fête ses 10 ans : « Nous voulons nous inscrire dans des programmes scientifiques à fort impact », déclare son DG, Paul Labrogère

La start-up Chimere met le darknet au service de la cybersécurité des entreprises

Sécuriser les puces : la solution de Secure-IC primée aux Assises de l'embarqué