IDPS-ESCAPE & SATRAP-DL : une architecture ouverte et intégrée pour la détection, l’analyse et la réponse
Alors que la directive NIS2 impose aux organisations européennes un niveau de maturité nettement plus élevé en matière de surveillance de sécurité, les PME se retrouvent face à un défi disproportionné : répondre aux obligations de détection, de remédiation et de documentation, tout en fonctionnant avec des ressources limitées. Dans ce contexte, itrust Abstractions Lab et itrust consulting introduit une pile technologique ouverte articulée autour de deux systèmes complémentaires développés dans le contexte du projet CyFORT :
IDPSESCAPE (Intrusion Detection and Prevention System – Enhanced Security through a Cooperative Anomaly Prediction Engine), dédié à la détection et à la prévention d’intrusion, et SATRAPDL (Semi-Automated Threat Reconnaissance and Analysis Powered by Description Logics), centré sur le renseignement sur les cybermenaces (CTI), la contextualisation, la corrélation et la gestion d’incidents.
Les trois sous-systèmes clés — SONAR et RADAR pour IDPSESCAPE, DECIPHER pour SATRAPDL — constituent une chaîne continue allant de la collecte à l’analyse, de l’enrichissement CTI à la remédiation, jusqu’à la création de cas structurés dans la plateforme open source flowintel,
qui offre une intégration étroite et robuste avec l’écosystème MISP développé entre autres par CIRCL au Luxembourg.
Cette philosophie prolonge celle qui a guidé la création d’IDPSESCAPE et
SATRAP-DL : fournir des solutions libres, transparentes et auditables afin d’aider les organisations à se conformer plus sereinement aux obligations NIS2 à des coûts d’implémentation faible et promouvant une maîtrise interne.
IDPS-ESCAPE & SATRAP-DL parachèvent la mission SOAR tout en renforçant la conformité NIS2
Une double architecture pour répondre à toutes les exigences NIS2
IDPSESCAPE avait été initialement conçu comme une plateforme combinant capteurs, un moteur d’IA et automatisation afin de réduire les faux positifs et d’aider les entités essentielles et importantes à remplir leurs obligations de surveillance continue. SATRAPDL vient désormais compléter cet ensemble en apportant une dimension essentielle : l’analyse structurée des menaces de cybersécurité, le traitement complet des incidents et la capacité de relier automatiquement la détection à une réponse institutionnalisée, documentée et conforme aux attentes réglementaires.
Dans la pratique, IDPSESCAPE assure la veille technique et la réponse active, c’estàdire la capacité à repérer, classifier et prioriser les anomalies à l’aide de règles, de modèles statistiques et d’algorithmes multivariés, autant qu’activer des actions défensives. SATRAPDL, avec DECIPHER, fournit la couche de gestion, c’estàdire l’enrichissement, l’analyse avancée de CTI, la création de cas, la corrélation, l’escalade et la documentation. Cette séparation permet aux organisations de gagner en clarté : IDPSESCAPE s’occupe de « ce qui se passe », SATRAPDL de « ce que l’on en fait ». L’ensemble répond ainsi à la fois aux exigences de détection et à celles de gestion d’incident prévues par NIS2.
RADAR : l’exécution SOAR au sein d’IDPSESCAPE
RADAR constitue l’élément exécutif d’IDPSESCAPE, celui qui transforme une alerte en action réelle. Il se fonde sur les principes du SOAR : orchestrer, automatiser et répondre. L’orchestration repose sur Ansible, permettant un déploiement automatisé et homogène de Wazuh, de ses agents et de l’ensemble des détecteurs au sein d’infrastructures distribuées. L’automatisation provient du mécanisme d’active response, capable d’exécuter des scripts sans intervention humaine, que ce soit pour envoyer une notification, bloquer une adresse IP, redémarrer un service ou désactiver un utilisateur. La détection repose sur un mécanisme hybride combinant une approche par signatures et une solution de détection d’anomalies fondée sur l’algorithme d’apprentissage automatique RRCF.
Ce fonctionnement s’inscrit dans une logique de gestion du risque. Chaque détection est d’abord qualifiée par un score dynamique qui distingue les scénarios faibles, moyens ou élevés. Une anomalie jugée faible donne lieu à une simple information transmise à l’analyste. Un risque moyen entraîne une notification accompagnée de la création automatique d’un cas dans flowintel. Un risque élevé peut mener à des actions plus directes, comme la mise hors service d’un composant ou l’application de contremesures temporaires plus strictes. La capacité à moduler
la réaction permet de limiter les interruptions inutiles tout en assurant une
défense active.
SONAR : l’analyse multivariée qui renforce IDPSESCAPE
L’intelligence de détection provient de SONAR, autre soussystème d’IDPSESCAPE. Là où les règles Wazuh détectent les menaces connues et où l’algorithme statistique RRCF d’OpenSearch développé par Amazon repère les comportements atypiques isolés, SONAR ajoute une dimension plus profonde : la détection multivariée basée sur des séries temporelles, ondée sur un algorithme de machine learning basé sur le deep learning. L’algorithme MTAD-GAT de Microsoft est au cœur de SONAR et lui permet de corréler simultanément un ensemble de signaux issus des alertes Wazuh pour repérer des motifs de compromission subtils.
SONAR fonctionne de manière légère et s’intègre naturellement à l’environnement de supervision existant. Il analyse les alertes déjà collectées pour repérer celles qui sortent vraiment de l’ordinaire. Cette approche permet de réduire fortement le nombre de signaux inutiles et de mettre en avant les situations qui méritent une attention immédiate, ce qui aide les équipes à se concentrer sur l’essentiel.
DECIPHER : l’intelligence CTI et la gestion des incidents dans SATRAPDL
DECIPHER, au sein de SATRAP‑DL, intervient après cette première détection pour donner du contexte. Lorsque RADAR signale une activité suspecte, DECIPHER va chercher des informations complémentaires, par exemple si l’adresse ou le comportement a déjà été associé à des attaques connues. Cela permet d’évaluer plus précisément la gravité d’une alerte et d’adapter la réponse.
Un élément clé est l’intégration directe avec l’outil open source flowintel, qui sert à documenter et suivre les incidents. DECIPHER peut créer automatiquement un dossier d’incident complet, rassemblant les éléments utiles pour l’analyste. Grâce à cette automatisation, chaque incident significatif est enregistré et peut être traité de manière structurée. Cette capacité est essentielle dans le cadre de NIS2, qui demande une traçabilité et une documentation systématique des événements importants.
SATRAP‑DL joue ainsi le rôle de lien entre les signaux techniques détectés par IDPS‑ESCAPE et la gestion opérationnelle des incidents basée sur une analyse avancée. Il permet aux organisations, y compris les PME, de disposer d’un processus complet et cohérent sans devoir mettre en place une équipe dédiée coûteuse.
Une intégration fluide entre IDPSESCAPE, SATRAPDL et flowintel
L’intégration entre IDPS‑ESCAPE, SATRAP‑DL et flowintel est fluide. IDPS‑ESCAPE repère d’abord l’activité suspecte. SATRAP‑DL, via DECIPHER, l’analyse et en extrait les éléments nécessaires à l’évaluation du risque. Si besoin, un incident est automatiquement ouvert dans flowintel. L’organisation peut ensuite suivre, escalader ou résoudre le cas. Cette continuité permet de comprendre rapidement ce qui s’est passé, comment cela a été traité et pourquoi certaines mesures ont été prises, ce qui facilite fortement la conformité NIS2.
Une pile ouverte AGPL 3.0 — IDPS-ESCAPE & SATRAP-DL — pensée pour les PME
Un modèle d’adoption durable pour les PME
L’approche d’itrust Abstractions Lab et itrust consulting va audelà de la simple publication open source. En échange de trois à quatre jours de monitoring par mois, idéalement assurés par un informaticien interne de l’organisation adoptant nos solutions, l’équipe de conception met à disposition environ deux semaines de soutien, de formation et de conseils techniques. Pour une période limitée, cette prestation est cofinancée par le Ministère de l’Économie, dans le cadre de son objectif de promouvoir le déploiement de solutions de cybersécurité ouvertes. Ce modèle permet aux petites structures de renforcer progressivement leur maturité tout en conservant l’autonomie nécessaire pour exploiter la pile au quotidien. Il est important de souligner qu’un projet de détection d’intrusion ne remplace pas la fonction IT, mais en constitue un complément indépendant qui rassure la direction sur le bon fonctionnement de l’environnement informatique, son absence de vulnérabilités majeures et, en cas d’attaque, la garantie qu’une réaction immédiate est engagée pour en limiter les impacts.
Publication et perspectives
Les soussystèmes SONAR, RADAR et DECIPHER, respectivement intégrés à IDPSESCAPE et SATRAPDL, sont sur GitHub. Ils apportent une capacité de détection avancée, une automatisation de la réponse et une gestion d’incidents rigoureuse, le tout dans une logique entièrement ouverte, transparente et alignée sur les obligations NIS2. En outre, la pile technologique assure une intégration native avec Flowintel et MISP, optimisant les flux de travail des entités déjà utilisatrices de cette plateforme largement reconnue.
Pour plus d’info, contacter info@abstractionslab.lu ou visitez : https://abstractionslab.com/index.php/products/