Fruit de cinq années de collaboration avec neuf partenaires industriels et académiques, CHESS est une plateforme dédiée au développement, à l’évaluation et à l’intégration de solutions de cybersécurité des systèmes informatiques et cyber-physiques hyperconnectés.
L’institut et ses partenaires (CEA, Télécom SudParis/Institut Mines-Télécom, Airbus, Airbus Defence & Space, Bertin IT, Engie, Gemalto, Prove&Run, Thales) ont développé, en collaboration avec l’ANSSI1 , un environnement « sécurisé et de confiance » dédié à l’intégration, à l’évaluation et au renforcement de la cybersécurité des systèmes du futur (véhicule connecté, IoT industriels, smart grids, etc.), lors de scénarios avancés.
Baptisée CHESS2, cette plateforme offre un environnement matériel et logiciel complet pour analyser les systèmes du futur, identifier les failles de sécurité, modéliser et simuler des attaques, et tester des stratégies de protection et des technologies innovantes de défense (moving target defense, segmentation, isolation, authentification, chiffrement léger, chiffrement homomorphe, etc.). Labellisée parle CoFIS3, elle propose également un riche catalogue de cyberattaques sur des réseaux IT (Information Technology) et OT (Operational Technology), ainsi qu’un environnement dédié à la sensibilisation et l’entraînement cyber. C’est d’ailleurs sur la plateforme CHESS que s’entraîne la sélection nationale de l’ANSSI représentant la France pour l’European Cyber Security Challenge, organisé chaque année par l’Agence Européenne de la Cybersécurité (ENISA).
La plateforme est également mise à disposition d’entreprises, dans le cadre de la mission de sensibilisation et de formation de leurs collaborateurs aux risques cyber. CHESS a vocation à devenir une plateforme de référence française en cybersécurité industrielle. Enrichie constament par de nouvelles briques, pouvant prendre la forme de logiciels, de scénarios d’attaques, de générateurs de vie ou encore d’outils de détection, et nourrie par les projets de l’IRT SystemX, la plateforme vise à construire une offre de services dédiés à la cybersécurité et ouverte à tous afin de favoriser le partage de l’expertise et des connaissances entre les industriels et les .
La plateforme CHESS permet entre autres de modéliser, simuler et émuler des infrastructures cyber-physiques complexes à des fins d’évaluation et de renforcement de la sécurité numérique.
Cette plateforme a suscité l’intérêt de plusieurs partenaires industriels
et institutionnels dont Naval Group.
CHESS est l’une des rares plateformes, aux échelles nationale et européenne, entièrement dédiée à la cybersécurité, et qui soit à la fois sécurisée, de confiance, complète, neutre et ouverte à tous. Elle offre de nombreuses capacités matérielles et logicielles assorties d’une offre de services de sécurité s’appuyant sur une expertise humaine de pointe, afin de répondre rapidement aux besoins de recherche, d’innovation et de formation en cybersécurité. Nous invitons les industriels français souhaitant évaluer les vulnérabilités de leurs système, de leurs stratégies de protection et/ou de leurs solutions innovantes à la tester.
Reda Yaich, Responsable d’équipe Sécurité numérique et Réseaux, IRT SystemX
Interview
Patrick HEBRARD
Responsable de la Recherche et Innovation Cyber,
Naval Group
Pourquoi et comment se positionne Naval Group sur le domaine de la sécurité des infrastructures industrielles ?
Les infrastructures industrielles font partie intégrante des domaines concernés par la cybersécurité pour Naval Group. C’est au cœur même de notre stratégie : nous intégrons la cybersécurité dans tout le cycle de vie du navire, de la conception à la maintenance, et cela inclut tout l’écosystème, dont les infrastructures industrielles et la supply chain font partie. Naval Group assure également la sécurité de ses propres infrastructures et de ses systèmes d’information,
sur ses sites en France et à l’international.
Quelles sont les perspectives d’utilisation de la plateforme CHESS par Naval Group ?
Nous avons découvert CHESS dans le cadre du projet sur le port et le navire du futur sécurisés (PFS), que nous menons avec SystemX et qui traite de cybersécurité dans le domaine maritime. Il ouvre un nouveau terrain de jeu pour la plateforme CHESS qui se nourrit déjà de différents cas d’usages dans les domaines des smart grids, smart cars ou de l’industrie 4.0 – sujets sur lequel nous travaillons aussi avec l’IRT au travers du projet H2020 SeCoIIA (Secure Cooperative Intelligent Industrial Assets). Naval Group a fortement investi ces dernières années dans la cybersécurité. Nous apportons maintenant, dans le cadre du projet PFS, toute notre expertise et expérience au profit du projet. La collaboration va permettre d’accélérer nos innovations cyber de part et d’autre et en particulier autour de CHESS. Le projet n’en est qu’à son démarrage et nous allons étudier les fonctionnalités qui pourront être éventuellement réutilisées (catalogue d’attaques, connaissances sur les sondes de sécurité, etc.). Plusieurs autres partenaires ont rejoint le projet pour développer de nouveaux cas d’usage, dans les locaux de SystemX à Saclay. Cela sera l’occasion de nous enrichir les uns les autres de tous nos savoir- faire et de capitaliser sur nos différentes plateformes.
Focus
Dans le cadre des travaux autour de la plateforme CHESS, une thèse sur le thème « Simulation d’activité et d’attaques : application à la cyberdéfense » (Pierre-Marie Bajan – IRT SystemX, Télécom SudParis) a été consacrée au développement d’une nouvelle méthode de simulation en réseau, pour créer un environnement d’évaluation de produits de sécurité et de services. Cette thèse a fait l’objet d’un « Best Paper Award » à l’occasion de l’édition 2018 de la conférence ICIMP (International Conference on Information Communication and Processing).
Focus
Une enquête terrain inédite menée par l’IRT SystemX auprès de PME et TPE françaises, victimes de cyber-attaques
Pendant près de trois ans, SystemX a enquêté auprès d’environ 60 entreprises, principalement des TPE et PME françaises, victimes de cyberattaques réussies. Objectif: quantifier l’impact réel des cyber-préjudices en France, élaborer des modèles de calcul des coûts ainsi que de l’exposition d’une entreprise au risque. Il ressort de cette étude inédite des chiffres particulièrement intéressants qui font voler en éclat deux croyances communément admises : le nombre de cyberattaques réussies, de l’ordre de 2 à 5%, s’avère bien supérieur aux estimations rendues publiques, tandis que le coût moyen des cyberattaques se révèle beaucoup plus faible que supposé et s’évalue en milliers d’euros. Cette étude a permis de sensibiliser largement les petites structures françaises aux cyber-risques et mesures élémentaires à mettre en oeuvre. Un travail d’étude a également été mené avec les assureurs pour mieux maîtriser le risque cyber sur l’ensemble de la chaîne de valeur et son transfert vers l’assurance.