Menu responsive
Home 9 Cas d’utilisation 1

Démonstrateur 1 : Production et partage de renseignements sur les menaces entre les autorités locales

 

Partenaires: Dans ce démonstrateur, deux autorités locales, l’une de la région d’Aragon en Espagne et l’autre de la région de Vénétie en Italie, participent. Le développement technique est soutenu par S2 Grupo, une entreprise technologique espagnole spécialisée dans la cybersécurité.

Description du problème: Un scénario d’échange de renseignements sur les menaces entre deux régions européennes collaboratrices (Aragon et Vénétie) sera mis en œuvre. Les gouvernements sont l’une des principales cibles des cybercriminels et sont exposés à de grands risques, car ils fournissent des services importants tels que la santé, l’éducation et les services sociaux. Pour lutter contre ces risques, les deux régions disposent de vastes ensembles de données pertinentes qui peuvent être exploitées en collaboration à l’aide de techniques d’apprentissage automatique préservant la vie privée (PPML).

L’un des facteurs clés de la lutte contre la cybercriminalité a toujours été le partage d’informations entre différentes organisations, qu’elles soient publiques ou privées. Traditionnellement, le partage d’informations sur les nouvelles techniques, tendances et objectifs des cybercriminels, voire sur les campagnes en cours, est une pratique courante qui permet de prévenir les attaques ou, du moins, de les détecter à un stade précoce ou d’en atténuer les effets. Plus récemment, l’application de l’apprentissage automatique, comme les algorithmes d’apprentissage profond, à la cybersécurité a gagné en popularité en raison de sa flexibilité et de sa capacité à faire face, non seulement aux menaces connues, mais aussi aux menaces inconnues (telles que les menaces de type “zero-day”). Comme ces algorithmes nécessitent de grandes quantités de données pour être formés, leur popularité croissante a encore accentué le besoin de partage des données.

Cependant, le partage de grandes quantités de données relatives à la cybersécurité entre différentes entités est souvent compliqué, non seulement en raison de la complexité et de l’hétérogénéité des données, mais aussi en raison de leur sensibilité potentielle. Par exemple, un réseau neuronal pourrait être formé pour détecter les campagnes d’hameçonnage au sein d’une entreprise en inspectant les courriels des employés et en calculant le degré de similitude avec les campagnes d’hameçonnage existantes. Toutefois, il faudrait pour cela que l’entreprise (et ses employés) donne l’autorisation d’inspecter ces courriels, qui peuvent contenir des informations privées et sensibles. En outre, les entreprises et les particuliers sont réticents à partager des données sur la manière dont ils ont été attaqués, en particulier lorsque les attaques ont été couronnées de succès, parce qu’ils ne veulent pas que leur image publique soit ternie.

Dans ce démonstrateur, les deux organisations participantes (les gouvernements locaux d’Aragon et de Vénétie) bénéficieront des mécanismes avancés de partage de données fournis par le cadre HARPOCRATES, qui leur permet de partager des informations privées et sensibles sans nuire à leur image publique ni enfreindre aucune loi sur la protection de la vie privée. Ce mécanisme permettra de collecter et d’échanger de nouveaux indicateurs de compromission et de renseignements sur les menaces, en renforçant la cybersécurité à un point tel qu’elle pourra faire face à l’augmentation susmentionnée du degré d’intelligence et de sophistication de la cybercriminalité.

Application démonstrative prévue: Le démonstrateur sera mis en œuvre comme suit :

    1. Constitution d’un ensemble de données : y compris (1) la sélection du sous-ensemble d’utilisateurs/d’hôtes de chaque organisation qui feront partie de l’ensemble de données ; (2) la récupération des données au cours de l’activité normale de chaque organisation et l’anonymisation de base pour permettre la publication des ensembles de données au reste du consortium ; (3) l’injection de journaux malveillants pour la détection des menaces et les expériences de partage.
    2. Conception et architecture de la plate-forme de renseignement sur les menaces : y compris (1) la conception du démonstrateur
      utilisant les services de HARPOCRATES, grâce à laquelle les renseignements sur les menaces seront anonymisés et partagés ; (2) la conception de la modélisation des menaces.
    3. Formation au ML à l’aide de données anonymes, en s’appuyant sur les services PPML développés par HARPOCRATES.
    4. Mise en œuvre et évaluation du démonstrateur. L’évaluation comprendra (1) l’analyse du paysage des menaces avant HARPOCRATES ; (2) la caractérisation des menaces et des données nécessaires pour les prévenir ; (3) la comparaison des menaces évitables avec et sans les services HARPOCRATES.