CyFORT, une série d’outils de cybersécurité accessible à tous
Dans un contexte de menaces cybernétiques en constante augmentation et de plus en plus sophistiquées, les experts en cybersécurité ne restent pas inactifs, comme en témoigne le projet CyFORT. Explications avec ses créateurs, Carlo Harpes et Arash Atashpendar, respectivement Managing Director et responsable de la R&D/CTO chez itrust consulting et itrust Abstractions Lab.
Pouvez-vous nous présenter le projet CyFORT ?
CH : CyFORT, abréviation de « Cloud Cybersecurity Fortress of Open Resources and Tools for Resilience », est un projet de recherche visant à développer une série de logiciels open source pour la cybersécurité et mettant l’accent sur le cloud computing. En tant que logiciels libres et open source, tous les outils de cybersécurité de CyFORT et leur documentation technique seront rendus publics en ligne. Ces licences permissives permettent à chacun non seulement d’étudier nos outils, mais aussi de les adapter, de les modifier et de les personnaliser selon ses besoins, sans être soumis à ce que nous appellons « l’enfermement propriétaire de fournisseurs ».
Peut-on évoquer un outil spécifique développé dans le cadre de ce projet ?
AA : Parmi les six sous-projets de CyFORT, nous nous concentrerons aujourd’hui sur celui dont l’état de développement est le plus avancé, à savoir C5-DEC, abréviation de « Common Criteria for Cybersecurity, Cryptography, Clouds – Design, Evaluation and Certification ».
Tous les outils de cybersécurité de CyFORT et leur documentation technique seront rendus publics en ligne en tant que logiciels libres et open source
C5-DEC vise à évaluer de manière impartiale la sécurité des systèmes informatiques et des logiciels selon les Critères Communs (CC), un ensemble de normes reconnues internationalement (ISO/IEC 15408), ainsi que selon la méthodologie complémentaire ISO/IEC 18045, traitant d’une méthodologie commune pour l’évaluation de la sécurité informatique (CEM). La certification CC donne aux utilisateurs l’assurance qu’un produit est conforme aux garanties de sécurité qu’il revendique.
C5-DEC se compose de deux éléments clés : un logiciel et une base de connaissances comprenant des guides et munie d’un wiki de concepts clés CC. Ces éléments forment un ensemble cohérent, abordant des outils pour les CC, le développement sécurisé de logiciels et l’évaluation de la sécurité des systèmes cyber-physiques.
En quoi C5-DEC améliore-t-il ces processus ?
AA : Les normes CC et CEM, complexes et issues des efforts de plusieurs pays depuis 1980, présentent de vastes exigences de sécurité et une méthodologie ardue. Les processus de certification, impliquant fournisseurs et laboratoires, sont souvent coûteux et longs. C5-DEC rend ces procédures plus accessibles et efficaces, avec une base de données CC, des outils pour les rapports d’évaluation et des listes de contrôle. Il aide les analystes et concepteurs grâce à des bases de données complètes pour la conception et l’évaluation de la sécurité.
Y a-t-il d’autres fonctionnalités particulières de C5-DEC qui méritent d’être soulignées ?
AA : Le module de C5-DEC pour le développement de logiciels sécurisés assure le stockage et l’interconnexion de spécifications, de codes sources et de tests pour une traçabilité complète. Les fonctionnalités d’import/export et les opérations cryptographiques permettent de sécuriser la création et la distribution de logiciel.
C5-DEC intègre et s’appuie sur d’autres solutions open source comme doorstop-dev, asciimatics, OpenProject, GitLab, threagile et Threat Dragon pour certaines de ses fonctionnalités telles que la gestion des exigences et des artefacts, la conception et les tests du système, la modélisation des menaces et l’évaluation des risques de sécurité.
À quels utilisateurs votre solution s’adresse-t-elle ?
CH : Notre cible inclut les concepteurs de logiciels et les experts en CC, avec un focus actuel sur le coaching des développeurs. Nous cherchons en ce moment quelques clients pour une formation sur C5-DEC. Ceux-ci bénéficieraient d’un coaching gratuit en échange de retours écrits sur l’utilisation de notre outil. Typiquement, je pense à certains cas de figure concrets comme le déploiement de Luxchat, l’application mobile de dépôt de plaintes électroniques ou encore l’envoi d’un certificat de maladie électronique à la CCSS et à l’employeur par les médecins, sur accord du patient.
Pourriez-vous nous donner un exemple d’utilisation pratique ?
CH : Imaginez le fournisseur d’une carte à puce souhaitant faire certifier son produit en matière de sécurité informatique, soit en raison des recommandations réglementaires (RGPD, NISS), soit simplement pour instaurer la confiance chez ses utilisateurs.
Les concepteurs utilisant C5-DEC peuvent filtrer les exigences des CC et se concentrer sur les exigences de sécurité, ainsi que les activités d’assurance liées à la cryptographie, et utiliser les éléments de la base de connaissances.
Les laboratoires d’évaluation peuvent à leur tour utiliser la fonctionnalité orientée évaluation. Par exemple, elle a déjà été utilisée en interne dans le cadre d’un projet pour un client du secteur public, ainsi que dans des projets de recherche pour la Commission européenne et l’Agence spatiale européenne (ESA), ou pour la spécification d’un outil cryptographique.
Quels sont les développements à venir pour C5-DEC ?
AA : Nous mettrons à jour C5-DEC selon les retours des utilisateurs, mais aussi en fonction de nos découvertes lors de son utilisation sur le terrain. De plus, nous envisageons, entre autres, d’adapter son développement futur à l’outil en ligne, Fit4CSA, récemment publié par l’ILNAS et issu du projet CORAL. Enfin, nous souhaitons mieux adapter notre logiciel aux spécificités de l’Acte de Cybersecurité de l’UE ou CSA (règlement UE 2019/881) pour lequel C5-DEC fournit déjà certaines fonctionnalités.
Comment et quand C5-DEC sera-t-il publié ?
AA : La version alpha de C5-DEC se trouve sur la plateforme bien connue GitHub et peut être consultée via le lien suivant : https://github.com/AbstractionsLab.