Protéger les infrastructures d’information critiques
La numérisation croissante a eu un impact positif considérable sur l’efficience et l’efficacité des organisations publiques et privées. Cependant, elle a parallèlement exposé les infrastructures critiques de l’Europe à des cybermenaces en constante évolution et de plus en plus sophistiquées. Ces infrastructures critiques, dont la perturbation ou la destruction aurait un impact négatif grave sur la société, sont de plus en plus appelées infrastructures d’information critiques et sont vitales dans des domaines tels que l’énergie, les transports, la santé et la défense. L’UE en a conscience et agit, en renforçant le financement de la recherche connexe, comme dans le cadre du projet CyberSANE, financé par l’UE. Un financement bien investi a permis de mettre en place une plateforme globale centralisée pour gérer les incidents de cybersécurité des infrastructures d’information critiques, notamment en matière de protection, d’identification, de réponse et de récupération.
Un guichet unique pour le traitement des incidents de sécurité
Luis Ribeiro, coordinateur du projet, de PDMFC explique: «La plateforme CyberSANE intègre cinq outils modulaires avec un moteur central qui coordonne le cœur de la plateforme. LiveNet permet de surveiller, d’analyser et de visualiser en temps réel le trafic réseau interne en direct d’une organisation. DarkNet surveille le deep web, y compris le dark web pour analyser et évaluer les activités mondiales liées aux logiciels malveillants/à la cybersécurité. HybridNet reçoit des informations sur les cybermenaces potentielles de LiveNet (interne) et de DarkNet (externe) afin d’analyser et d’évaluer la situation de la sécurité au sein d’une organisation. ShareNet diffuse des informations relatives aux incidents auprès des parties prenantes. PrivacyNet fournit, entre autres, des fonctionnalités de protection de la vie privée et des données.» Les outils CyberSANE disposent d’algorithmes permettant de traiter les incidents de sécurité qui sont alignés sur la taxonomie MITRE ATT&CK®. Ces outils peuvent être intégrés à plusieurs outils et dispositifs de cybersécurité, tels que les pare-feu et les systèmes de détection et de prévention des intrusions. La plateforme résume la situation actuelle et passée en matière de sécurité de manière directe et fournit des tableaux de bord de haut niveau et de niveau inférieur pour aider les parties prenantes à se faire une idée rapide de la situation actuelle, et ce pour toutes les phases de traitement des incidents de sécurité. Des modèles d’IA entraînables permettent de réduire les faux positifs. Globalement, «la plateforme CyberSANE permet d’échanger rapidement des informations, d’harmoniser les systèmes de gestion de la sécurité de l’information avec les partenaires et de communiquer les incidents afin d’éviter de nouvelles attaques», explique Luis Ribeiro.
Traitement des incidents de sécurité: validation en conditions réelles
La plateforme CyberSANE a été éprouvée en conditions réelles dans les secteurs du transport de conteneurs de fret, de la production, du stockage et de la distribution d’énergie solaire, ainsi que du suivi et de la gestion en temps réel des patients dans les hôpitaux. Un regard sur l’un des pilotes illustre l’utilisation et l’utilité du système. Le port de Valence en Espagne est le sixième port d’Europe en volume de trafic et le plus important port d’importation, d’exportation et de transbordement de la Méditerranée. De nombreux services y sont automatisés. LiveNet a détecté des installations de logiciels malveillants. DarkNet a recherché des termes connexes pour trouver des informations pertinentes concernant l’attaque. HybridNet a détecté un accès depuis une adresse IP inconnue et suspecte. ShareNet a partagé l’incident pour éviter que la même attaque ne se reproduise sur d’autres infrastructures, et PrivacyNet a exécuté des fonctions d’anonymisation des données.
Automatisation et intégration avec un impact majeur
«Le système CyberSANE a dépassé les attentes en matière d’automatisation et de rationalisation des processus de traitement des incidents grâce à l’intégration de ses modules et outils. Cela aura de nombreux avantages, notamment l’augmentation de l’efficacité, la réduction du temps de réponse aux incidents et du risque d’erreur humaine, ainsi que l’amélioration de la collaboration et de la prise de décision», ajoute Luis Ribeiro. L’installation de CyberSANE peut être basée sur le cloud, sous forme de logiciel en tant que service, ou sur site, avec un abonnement mensuel/annuel ou une licence permanente. Le très ambitieux projet CyberSANE et ses résultats sont prêts à assurer la sécurité de nos infrastructures d’information critiques — et le fonctionnement sans heurts de la société européenne.
Mots‑clés
CyberSANE, cybersécurité, infrastructures d’information critiques, traitement des incidents de sécurité, automatisation, infrastructures critiques, IA, dark web, MITRE ATT&CK
