James Thew - Fotolia

Airbus CyberSecurity trouve des usages multiples à son cyber-range

Le groupe développe sa plateforme de simulation depuis de nombreuses années. Après s’en être notamment servi pour organiser des compétitions ou assurer la formation de ses équipes en interne, il l’ouvre à de nouvelles applications.

Cela fait plusieurs années qu’Airbus CyberSecurity développe sa plateforme de simulation d’incidents de sécurité informatique, son cyber-range, initialement pour répondre à ses besoins de sensibilisation et formation internes, ou encore organiser des « challenges » de sécurité des systèmes d’information. Mais la plateforme est depuis arrivée à maturité et Airbus CyberSecurity a commencé à en étendre les cas d’usage.

En septembre dernier, le groupe a ainsi annoncé des partenariats avec l’IMT Atlantique, l’ESIEA Paris-Laval, l’Efrei, et l’Insa Centre-Val de Loire. Là, explique Frédéric Julhes, directeur France d’Airbus CyberSecurity, la plateforme est mise à disposition pour permettre, notamment, la mise en place de travaux pratiques avec les étudiants. Le groupe peut aider à l’exploitation, apporter son expertise sur certains cursus, mais également profiter des retours de ses partenaires pour faire ses propres scénarios d’exercices. L’objectif principal est bien d’aider à la formation de recrues talentueuses, en pleine pénurie de ressources qualifiées. Qu’elles soient embauchées ensuite par Airbus ou par d’autres importe finalement moins que d’augmenter la disponibilité de profils toujours très recherchés.

Et l’intérêt n’est pas limité là à la formation initiale. Alors que les entreprises sont appelées à convertir d’autres profils à la cybersécurité, les besoins de sensibilisation et de formation, voire d’entraînement, ne font que se développer. Et même les spécialistes, les RSSI, peuvent profiter d’exercices pour rester à niveau dans un environnement où « tout bouge très vite ».

Construire des modèles au plus près du réel

Comme le souligne Eric Chambareau, directeur intégration et entraînement d’Airbus CyberSecurity, avec un cyber-range, pas question de verser dans la formation traditionnelle, théorique, voire parfois quelque peu hors-sol. L’objectif, « c’est de modéliser un système d’information qui correspond au métier du client, pour y créer des exercices sur-mesure ». Le tout pour aboutir à des scénarios aussi plausibles que possible. C'est ce que ses équipes font notamment avec Alstom.

Bien sûr, « il ne faut pas croire que cela se fait en deux jours ». Mais c’est toute la force d’une plateforme de cyber-range : à chaque fois que quelque chose de nouveau est créé pour un scénario, cela vient alimenter une bibliothèque de composants qui pourront être déclinés, personnalisés. Les composants sont donc réutilisables ; ce sont les cas d’usage qui sont personnalisés. Et avec le temps, plus la plateforme est utilisée, « plus il est aisé de créer des scénarios ».

Ce n’est pas tout. Pour coller aux métiers des clients, encore faut-il les comprendre. Afin de répondre aux besoins spécifiques dans le domaine des systèmes de contrôle industriel (ICS/Scada), Airbus CyberSecurity a donc embauché l’an passé trois automaticiens.

Frédéric Julhes relève en outre que le cyber-range permet d’aller au-delà de la seule formation et de l’entraînement, sur le terrain du test. Ainsi, en réponse à des demandes de clients, Airbus CyberSecurity a utilisé sa plateforme de simulation pour étudier au plus près les offres d’une dizaine de spécialistes de la sécurisation des environnements industriels : « cela permet de vérifier les forces de chacun et les complémentarités ».

Une plateforme développée en interne

Pour son cyber-range, Airbus CyberSecurity s’appuie sur Lade, une plateforme développée en interne sur une couche de virtualisation VMware, avec ouverture prévue sur les environnements de production cloud. Eric Chambareau explique que le groupe avait commencé par utiliser KVM, mais ce dernier a vite montré ses limites « pour la montée en charge. Et aujourd’hui, nous voulons intégrer les objets connectés, ce qui induit des scénarios avec un grand nombre de composants ». Tous ne sont d’ailleurs pas intégrés sous la forme de machines virtuelles, mais également sous celle de micro-services Docker.

Le choix de VMware répond également à un besoin d’industrialisation : « nombre des partenaires avec lesquels nous travaillons, comme Cisco, Palo Alto Networks ou encore Stormshield, proposent leurs produits directement sous la forme d’appliances virtuelles avec images pouvant être instanciées directement, sans conversion », explique Eric Chambareau.

Le cyber-range d’Airbus CyberSecurity est proposé en trois capacités nominales, supportant de 4 à 48 utilisateurs, de 75 à 300 machines virtuelles, et de 2 500 à 10 000 conteneurs Docker. La version la plus modeste ne supporte que 4 environnements de jeux indépendants, auxquels sont rattachés individuellement les participants, contre 16 pour la version la plus musclée. Le catalogue d’attaques s’étend de 30 à 100 modèles selon les versions. Les deux versions à la capacité la plus élevée embarquent en outre un centre opérationnel de sécurité (SOC) virtualisé.

Le cyber-range embarque donc un générateur de trafic malicieux logiciel. Mais un générateur matériel, optionnel, est nécessaire pour les exercices impliquant domaines et sites Web malicieux ou encore menaces et maliciels émergents. Le générateur de trafic matériel est en outre plus efficace pour les simulations d’attaques en déni de service.

Pour approfondir sur Cyberdéfense

Close