itrust consulting présente CyFORT
Alors que les menaces de cyberattaques se multiplient, les experts en cybersécurité redoublent d’innovation pour protéger au mieux les données publiques et privées, à l’instar du projet CyFORT. Rencontre avec ses créateurs, Carlo Harpes et Arash Atashpendar, respectivement Managing Director et CTO/Head of R&D au sein d’itrust consulting et itrust Abstractions Lab.
Pouvez-vous nous présenter le projet CyFORT?
CH: CyFORT est un projet de recherche visant à développer en open source une série d’outils utiles à la cybersécurité, particulièrement adaptés au «Cloud Computing». CyFORT est l’acronyme de «Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience». Ce travail s’inscrit dans le cadre d’une collaboration avec des partenaires européens et locaux, et les résultats du projet seront publiés et librement mis à la disposition des parties intéressées. Nos solutions permettent d’améliorer la sécurité d’une organisation et d’un produit grâce à des outils open source et des méthodes alignées aux normes.
AA: CyFORT s’adresse aux institutions du secteur public comme aux entreprises du secteur privé qui souhaitent d’une part améliorer leurs processus de développement et du cycle de vie de leurs logiciels, intégrer des méthodologies de sécurité de l’information et d’analyse des risques à leur organisation, et d’autre part sécuriser leurs infrastructures, les outils et les produits qu’ils conçoivent.
Qu’entend-on exactement par «open source»?
CH: Comme son nom l’indique, le code source d’un logiciel dit «open source» est mis à la disposition du public via des plateformes en libre accès. Il permet une continuation de développement de manière collaborative. Quiconque peut étudier le code, le modifier et le distribuer à sa convenance, tout en respectant les critères établis par les licences associées. Ainsi, tout le monde peut étudier nos solutions sans dépendre de nous, ou d’une quelconque tierce plateforme, mais aussi continuer à les développer.
AA: Nous utilisons également des solutions développées en open source pour créer des outils toujours plus efficaces, transparents et flexibles. Utilisées dans des domaines parfois critiques, ces trois vertus sont plus que nécessaires. Comme évoqué, les codes sources de nos outils seront publiés en utilisant des licences de logiciel de diffusion libre ou ouverte, et seront mis à disposition.
Comment conçoit-on un tel projet?
CH: Nous avons tout d’abord créé un spin-off de l’activité R&D d’itrust, qui s’appelle «itrust Abstractions Lab», une structure à part qui nous permet de nous focaliser de manière plus poussée sur nos piliers de recherche et développement comme l’intelligence artificielle ou la cryptographie. Après avoir conçu ce projet, nous avons dû surmonter le défi de le restructurer et l’adapter à plusieurs reprises aux exigences pour le cofinancement.
AA: Nous avons recyclé les bonnes et mauvaises expériences de projets de recherche précédents: dans CRITISEC, nous avons conçu une solution de détection d’intrusion qui s’est avérée peu efficace car les algorithmes sous-jacents développés dans le cadre d’une thèse se sont révélés insuffisants dans nos tests. De plus, de multiples projets de développement de logiciels industriels nous ont permis de définir les besoins d’une documentation structurée des exigences sécurité, de leurs implémentations et de leur vérification.
Pouvez-vous nous présenter en détail quelques-unes de ces solutions?
CH: Une unité du projet conçoit CS-GRAM, «Cloud Services – Governance, Risk management, Audit, and Monitoring», une série d’outils en support du CISO, dont nous mentionnons trois. OpenAriana aide à écrire des politiques et des procédures de sécurité. En structurant les informations qui viennent généralement de standards ISO, en les combinant et en les personnalisant selon les besoins d’une entreprise, il génère des politiques dans le format souhaité par le client, complétées par les observations et les décisions d’un auditeur. Draw.trickservice.com permet de dessiner les dépendances entre les actifs et de modéliser les propagations de risques. TRICK génère des rapports de risques dans le format exigé des régulateurs et des formats lisibles par le management.
Nos solutions permettent d’améliorer la sécurité d’une organisation et d’un produit avec des outils open source et des méthodes alignées aux normes
Les acteurs suivants ont déjà bénéficié de ces outils : Cebi, Creos, Encevo, enovos, LuxMetering, la Police Grand-Ducale, SUDenergie et de multiples administrations communales.
Un défi réussi était de remettre des analyses de risque pour le 15 octobre 2022 selon le format du régulateur ILR, spécifié par le Règlement ILR/N22/7 du 15 septembre 2022 (un format JSON compliqué à lire), contraint par un outil sans possibilité d’injection des paramètres que les opérateurs régulés avaient déjà sous forme Excel. Malgré les difficultés, l’ILR a eu six analyses de risque dans le format souhaité préparées par l’outil de CyFORT.
AA: Le second outil se nomme C5-DEC, ce qui signifie «Common Criteria for Cyber Security, Cryptography, Clouds – Design Evaluation and Certification». Le composant logiciel de C5-DEC et ses bases de connaissances offrent d’un côté un ensemble cohérent, visant le cycle de vie sécurisé du développement de logiciels. De l’autre, il permet d’évaluer de manière impartiale la sécurité des systèmes et des logiciels informatiques selon les critères communs (CC), un ensemble de normes (ISO 15408) internationalement reconnu. Des processus complexes et coûteux que notre outil simplifie et rend plus accessibles et plus efficaces. Une de ses forces est notamment de pouvoir être paramétré sur mesure. Cela permet en outre d’assurer aux évaluateurs que les produits sont conformes. La première version sera publiée bientôt, de façon open source, et a déjà été utilisée dans le contexte d’un projet pour un client du secteur public, ainsi que dans des projets de recherche de la Commission européenne et l’ESA, entre autres.
À quels enjeux répondent concrètement ces solutions?
CH: Nous constatons que beaucoup de sociétés rencontrent des difficultés dans la gestion des projets de développement IT, notamment car ces derniers ne sont pas suffisamment spécifiés. Nos solutions permettent de lire dans un produit comme dans un livre ouvert, bien aligné avec les normes en vigueur. Elles indiquent clairement les données liées au produit, les documentent, les structurent et assurent donc la sécurité dans le processus de développement et d’implémentation. Elles permettent donc à nos clients de disposer d’un processus tout à fait rigoureux, en vue de créer des produits bien documentés.
AA: Imaginez que vous soyez intéressé par un outil de chat dans lequel on peut glisser un message qui sera partagé de manière chiffrée. Grâce à notre solution, vous pourrez tester cet outil, mais aussi obtenir toutes ses spécifications afin de vous assurer que la promesse est tenue, que l’outil est sécurisé, le message chiffré avec les algorithmes et clés convenus. Vous pourrez lire tout ce que fait l’outil, comment il le fait, quels composants sont mis en jeu, avec quel code source, etc. C’est un gain de temps et de sécurité énorme à la fois pour la prochaine génération de développeurs que pour les testeurs du logiciel.