print preview Retour Page d'accueil

Collaboration fructueuse entre le Cyber-Defence Campus et l’office fédéral allemand de la sécurité des technologies et de l’information (BSI)

Le Cyber-Defence (CYD) Campus d’armasuisse Sciences et technologies (S+T) collabore avec le BSI (Bundesamt für Sicherheit in der Informationstechnik) pour fournir des outils open source permettant de créer et gérer des rapports de sécurité exploitables par ordinateurs. On vise ainsi à faciliter les échanges d’informations autour des failles de sécurité.

20.12.2021 | Damian Pfammatter, chef de projet scientifique, Cyber-Defence Campus

Un curseur d'ordinateur sur le mot "Security"

 

Les informations sur les vulnérabilités informatiques établies sont pour la plupart compilées dans des security advisories ou rapports de sécurité. Ces rapports comportent typiquement des informations sur le type et la criticité des vulnérabilités identifiées, les produits et versions concernés, et la manière d’y remédier.

En Suisse, de telles informations sont p. ex. collectées par le Centre national pour la cybersécurité (NCSC), puis transmises aux services concernés après vérification. L’office fédéral allemand de la sécurité des technologies et de l’information (BSI) collecte, analyse et diffuse lui aussi ces rapports dans le cadre de ses activités.

Leurs nombres croissants représentent un défi majeur pour les exploitants, les fabricants et les autorités. Provenant de sources multiples, ces avis varient fortement quant au format du fichier, à la structure ou encore à la qualité de l’information, ce qui ne permet généralement pas au service évaluateur de réaliser un traitement automatique, ou alors uniquement de manière très limitée. Dans le même temps, ces informations sont indispensables pour l’appréciation du risque et la priorisation des mesures de mise à jour.

Le Cyber-Defence (CYD) Campus collabore avec le BSI dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC 2018-2022) pour promouvoir le développement et la diffusion du « Common Security Advisory Framework » (CSAF). La norme CSAF fixe le format exploitable par ordinateur que les rapports de sécurité doivent adopter, mais aussi la manière et l’endroit où ces derniers doivent être mis à disposition. Par conséquent, ces rapports de sécurité peuvent être traités automatiquement et comparés avec des bases de données  internes. Le CSAF fournira ainsi une contribution décisive aux entreprises pour garder une vue d’ensemble sur la sécurité de leurs systèmes. Dès lors, le BSI plaide en faveur de la norme CSAF dans son rapport de situation de 2021. Le Centre national pour la cybersécurité (NCSC) estime lui aussi, dans son rapport semestriel 2021/I, que ce format pourrait constituer un outil utile pour la saisie et le traitement automatisé des rapports de sécurité.

Afin de démontrer la faisabilité du CSAF, le CYD Campus et le BSI allemand ont collaboré pour élaborer deux proof of concepts (PoC) au cours de cette année. Ces PoC seront progressivement développées pour en faire des outils open source à part entière :

Secvisogram

Le premier outil open source, Secvisogram est une aide à l’élaboration de fichiers CSAF. Il offre une interface utilisateur permettant d’« assembler » un rapport de sécurité. Ce faisant, le rapport est transféré en interne dans le format adéquat sur le plan technique. De plus, afin de limiter autant que possible les accès à des fichiers CSAF sensibles, Secvisogram a été conçu pour pouvoir être utilisé de manière isolée dans le navigateur d’un utilisateur sans transmettre aucunes données à un serveur. Un rapport de sécurité lisible par un humain peut également être créé à partir du fichier au format technique.

CSAF-Backend

Ce deuxième outil open source est une PoC devant permettre la gestion de fichiers CSAF. Secvisogram ne peut en effet que créer ou traiter des fichiers CSAF individuels, ce qui peut s’avérer peu pratique pour les fabricants qui publient des centaines de rapport de sécurité chaque année. CSAF-Backend offre des fonctions de gestion ainsi que des exemples de workflow. Le BSI a publié un appel d’offres sur la base des enseignements tirés des PoC développées par le CYD Campus en vue de transformer CSAF-Backend en un outil déployable en production.

Grâce à ces outils open source publiquement accessibles, les exploitants, fabricants et autorités de tous les pays pourront à l’avenir échanger plus efficacement des informations sur les failles de sécurité et ainsi renforcer leur cybersécurité.