FR2962826A1 - Supervision de la securite d'un systeme informatique - Google Patents

Supervision de la securite d'un systeme informatique Download PDF

Info

Publication number
FR2962826A1
FR2962826A1 FR1055715A FR1055715A FR2962826A1 FR 2962826 A1 FR2962826 A1 FR 2962826A1 FR 1055715 A FR1055715 A FR 1055715A FR 1055715 A FR1055715 A FR 1055715A FR 2962826 A1 FR2962826 A1 FR 2962826A1
Authority
FR
France
Prior art keywords
security
good
basic
grouping
indicator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1055715A
Other languages
English (en)
Other versions
FR2962826B1 (fr
Inventor
Christophe Ponchel
Jean-Francois Boeuf
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus DS SAS
Original Assignee
EADS Defence and Security Systems SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EADS Defence and Security Systems SA filed Critical EADS Defence and Security Systems SA
Priority to FR1055715A priority Critical patent/FR2962826B1/fr
Priority to CN201180033955.1A priority patent/CN103140859B/zh
Priority to PCT/EP2011/061697 priority patent/WO2012007402A1/fr
Priority to ES11731341.1T priority patent/ES2615727T3/es
Priority to EP11731341.1A priority patent/EP2593896B1/fr
Priority to US13/808,936 priority patent/US9015794B2/en
Publication of FR2962826A1 publication Critical patent/FR2962826A1/fr
Application granted granted Critical
Publication of FR2962826B1 publication Critical patent/FR2962826B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Pour superviser la sécurité d'un système informatique (SY) comprenant plusieurs biens informatiques élémentaires (Bl), comme des machines et applications, et plusieurs biens de groupement (Blg), come des réseaux, services ou sites, groupant des biens élémentaires, un dispositif de supervision (DS) collecte des mesures de base (MB) représentatives d'états des biens élémentaires. Une unité (UDI) détermine plusieurs indicateurs de sécurité (I) de types différents pour chaque bien élémentaire selon des fonctions respectives des mesures de base, et plusieurs indicateurs de sécurité de types différents pour chaque bien de groupement. Chaque indicateur de sécurité d'un type donné d'un bien de groupement est déterminé selon une fonction respective des indicateurs de sécurité du type donné des biens élémentaires groupés dans le bien de groupement. Les indicateurs d'un bien concernent la disponibilité, l'intrusion, la vulnérabilité et la conformité à une politique de sécurité.

Description

Supervision de la sécurité d'un système informatique
La présente invention concerne le domaine de la sécurité des systèmes informatiques.
Un système informatique comprend divers biens informatiques, également appelés "entités", ou "objets", ou "composants". Des biens informatiques sont par exemple des machines informatiques, telles que divers ordinateurs, terminaux fixes ou mobiles, serveurs, routeurs, passerelles, commutateurs, etc., des applications et des systèmes d'exploitation installés dans les machines, des réseaux de communication interconnectant les machines, comme un réseau de serveurs et un réseau de terminaux d'usagers, et des services dispensés par des machines. Plus particulièrement, l'invention concerne un procédé et un dispositif de supervision de la sécurité d'un système informatique pour collecter et analyser des données sur les états de biens informatiques inclus dans le système informatique et dépendant d'événements et de comportements des biens.
Il est connu de modifier l'outil logiciel libre ("open-source" en anglais) de supervision Nagios pour superviser la sécurité de machines regroupées en réseaux. L'outil Nagios modifié caractérise la sécurité d'une machine informatique par quatre indicateurs "bas-niveaux" qui sont relatifs à la criticité, la vulnérabilité, la détection d'incident et le service. La criticité représente l'importance de la machine. Elle a cinq valeurs : minimale, faible, moyenne, élevée et maximale. La vulnérabilité est représentée par les comptes de compteurs de vulnérabilité classés par leurs sévérités qui peuvent être info, faible, moyenne et élevée. L'indicateur d'incidents associe tous les incidents concernant la machine, quelle que soit leur nature, et dépend des comptes de compteurs d'incidents classés par leurs sévérités qui peuvent être info, faible, 3o moyenne et élevée. Un point de supervision dans une machine est un service rendu par la machine, comme la surveillance de l'ouverture d'un port. Le point de supervision est vérifié par une commande de l'outil Nagios exécutée par l'intermédiaire d'un agent Nagios installé sur la machine. L'indicateur de service est représenté par un taux de disponibilité, exprimé en pourcentage, 35 des services applicatifs présents sur la machine. Les niveaux de service sont "disponible", "en suspens" (en cours de vérification), "dangereux", "critique" et "inconnu" (indisponible).
Pour chaque machine, un indicateur de sécurité est déterminé en fonction des trois premiers indicateurs "bas-niveaux" précédents et est égal à la somme des indicateurs de vulnérabilité et d'incidents pondérée par les niveaux de sévérité, paramétrables en configuration, et multipliée par la criticité de la machine. Un indicateur global est déterminé pour chaque machine en fonction de l'indicateur de sécurité et de l'indicateur de service et est constitué par le maximum de ces deux indicateurs. La signification des indicateurs de vulnérabilité, d'incidents et de service est figée dans le code ce qui conduit à modifier l'application si le mode de calcul d'un indicateur bas-niveau doit être changé. Les machines sont déclarées dans des fichiers de configuration Nagios. Toute nouvelle machine déclarée en configuration n'est prise en compte qu'au redémarrage de l'outil Nagios qui lance alors les vérifications par les services dans la machine. Les machines peuvent être regroupées par réseau. Les réseaux sont déclarés dans des fichiers de configuration Nagios et tout nouveau réseau déclaré en configuration n'est pris en compte qu'au redémarrage de l'outil Nagios. Un réseau a une criticité déduite des criticités des biens informatiques, tels que des réseaux et/ou machines, contenus dans le réseau, et est égale à la moyenne des criticités des biens contenus. Un indicateur global est déterminé pour chaque réseau en fonction des indicateurs globaux des biens contenus dans le réseau et est égal à la moyenne pondérée des indicateurs globaux des biens contenus tels que des réseaux et/ou machines.
Des données d'état sont récupérées par l'outil Nagios et ses extensions installés dans un serveur soit dans les modes natifs de Nagios pour l'indicateur de service, soit par des paquets d'alerte ("traps" en anglais) selon le protocole de supervision SNMP ("Simple Network Management Protocol" en anglais) pour l'indicateur d'incidents et l'indicateur de vulnérabilité. Les données de ces 3o indicateurs ne sont pas uniformisées ce qui ne facilité pas leur lecture. En outre, le paramétrage ne peut être modifié que par une mise à jour manuelle des fichiers de configuration de l'outil Nagios et de ses extensions, avec nécessité de redémarrer le serveur pour une prise en compte de ces modifications. Les fonctions d'agrégation des indicateurs sont fixes et 35 déterminées dans le code applicatif. L'indicateur d'incidents agrège les comptes d'incidents quelle que soit la nature des incidents concernant une machine, comme une intrusion par exemple.
Par ailleurs, l'outil de supervision Nagios ne présente à l'administrateur de la sécurité du système informatique supervisé que le reflet exact de l'agencement technique des biens informatiques supervisés inclus dans le système. Cette représentation est difficilement exploitable par l'administrateur lorsque le système informatique supervisé est complexe, et les données techniques qui permettent de le décrire ne donnent pas une représentation de l'état de sécurité du système facile à comprendre.
L'invention a pour objectif de fournir une supervision de la sécurité d'un 1 o système informatique qui dissimule la complexité technique du système en présentant l'état de sécurité du système par le biais des états de sécurité de groupes fonctionnels de biens informatiques élémentaires, comme des machines et des applications inclus dans le système, ces groupes fonctionnels correspondant au métier de l'utilisateur du système et étant familiers à celui-ci. 15 Pour atteindre cet objectif, un procédé pour superviser la sécurité d'un système informatique comprenant plusieurs biens informatiques élémentaires, chaque bien élémentaire étant supervisé en dépendance de mesures de base représentatives d'états prédéterminés du bien élémentaire, et plusieurs biens 20 de groupement groupant respectivement des biens élémentaires supervisés, est caractérisé en ce qu'il comprend une détermination de plusieurs indicateurs de sécurité de types différents pour chaque bien élémentaire supervisé, chaque indicateur de sécurité étant déterminé selon une fonction respective de mesures de base associées à l'indicateur de sécurité, et une détermination de 25 plusieurs indicateurs de sécurité de types différents pour chaque bien de groupement, chaque indicateur de sécurité d'un type donné d'un bien de groupement étant déterminé selon une fonction respective des indicateurs de sécurité du type donné des biens élémentaires groupés dans le bien de groupement. 30 Quelques indicateurs de sécurité qui sont tous déterminés selon un processus commun suffisent à préciser de manière rapidement compréhensible l'état de sécurité d'un bien élémentaire et d'un bien de groupement. Le procédé de supervision de l'invention est ainsi capable de superviser 35 divers types de bien de groupement relevant de la répartition organisationnelle, logique et géographique des biens élémentaires du système informatique supervisé, tels que des machines informatiques et des applications. En particulier, un bien de groupement peut être un réseau de machines informatiques en tant que biens élémentaires groupés dans le bien de groupement, ou un service fondé sur des applications, en tant que biens élémentaires groupés dans le bien de groupement, par exemple déployées sur plusieurs serveurs, ou un site géographique groupant des machines informatiques et/ou des réseaux en tant que biens élémentaires groupés dans le bien de groupement. Ces biens de groupement correspondent aux métiers de l'utilisateur du système informatique et leurs indicateurs de sécurité peuvent être affichés simultanément pour repérer facilement un bien de groupement relativement défaillant. 1 o Afin de connaître l'état de sécurité des différents biens élémentaires dans le système informatique supervisé et par suite d'appréhender l'impact sur les biens de groupement d'un problème de sécurité survenant dans un bien élémentaire quelconque du système, l'un des indicateurs de sécurité de chaque bien élémentaire peut être dépendant de mesures de base relatives à 15 la disponibilité du bien, ou dépendant de mesures de base relatives à au moins un type d'incident dans le bien et un facteur de sévérité du type d'incident, ou dépendant de mesures de base relatives à la vulnérabilité du bien et représentatives d'une estimation de l'impact d'au moins une faille de sécurité de type prédéterminé sur le bien et d'un facteur de sévérité de la faille, ou 20 dépendant de mesures de base relatives à une assurance de conformité du bien par rapport à une politique de sécurité préétablie. Ces quatre types d'indicateur peuvent être établis et affichés pour chaque bien élémentaire et pour chaque bien de groupement. Selon une autre caractéristique du procédé visant à déterminer les 25 indicateurs de sécurité d'un bien élémentaire, tel que machine, application ou parties de celles-ci, selon des fonctions paramétrables agrégeant par catégorie les mesures de base associées au bien et à uniformiser le processus de la mise à jour des indicateurs quel que soit leur type, la détermination d'un indicateur de sécurité de type donné du bien élémentaire comprend à la suite 30 d'une modification de l'une des mesures de base associées à l'indicateur de sécurité, une évaluation d'une mesure dérivée selon une fonction de la mesure de base modifiée et d'au moins une autre mesure de base interdépendante avec la mesure de base modifiée, et 35 une évaluation d'une métrique selon une fonction de la mesure dérivée évaluée et d'au moins une deuxième mesure dérivée selon une fonction de mesures de base interdépendantes associées à l'indicateur de sécurité de type donné et différentes des mesures de base précédentes, l'indicateur de sécurité de type donné étant déterminé selon une fonction dépendant de la métrique évaluée. Si le bien élémentaire supervisé inclus un ou plusieurs autres biens élémentaires, la détermination de l'indicateur de sécurité du type donné du bien élémentaire peut comprendre une agrégation d'indicateurs de sécurité du type donné de biens élémentaires parents inclus dans le bien élémentaire en un indicateur d'agrégation, l'indicateur de sécurité du bien élémentaire étant déterminé selon une fonction dépendant de la métrique évaluée et de l'indicateur d'agrégation.
L'invention concerne également un dispositif pour superviser la sécurité d'un système informatique comprenant plusieurs biens informatiques élémentaires. Le dispositif est apte à collecter des mesures de base associées à chaque bien élémentaire et représentatives d'états prédéterminés du bien élémentaire. Plusieurs biens de groupement groupent respectivement des biens élémentaires. Le dispositif est caractérisé en ce qu'il comprend un moyen pour déterminer plusieurs indicateurs de sécurité de types différents pour chaque bien élémentaire supervisé, chaque indicateur de sécurité étant déterminé selon une fonction respective de mesures de base associées à l'indicateur de sécurité, et un moyen pour déterminer plusieurs indicateurs de sécurité de types différents pour chaque bien de groupement, chaque indicateur de sécurité d'un type donné d'un bien de groupement étant déterminé selon une fonction respective des indicateurs de sécurité du type donné des biens élémentaires groupés dans le bien de groupement.
Un bien de groupement peut être l'un au moins des biens de groupement suivants: un réseau de machines informatiques en tant que biens élémentaires groupés, un service fondé sur des applications en tant que biens élémentaires groupés, et un site géographique groupant des machines informatiques et/ou des réseaux en tant que biens élémentaires groupés. Le dispositif peut ainsi présenter l'état de sécurité du système informatique supervisé suivant trois orientations familières. Les moyens de détermination d'indicateur de sécurité de bien peuvent être adaptés à déterminer au moins l'un des indicateurs de sécurité suivants pour un bien élémentaire et un bien de groupement: un indicateur de sécurité dépendant de mesures de base relatives à la disponibilité du bien, un indicateur de sécurité dépendant de mesures de base relatives à au moins un type d'incident dans le bien et un facteur de sévérité du type d'incident, un indicateur de sécurité dépendant de mesures de base relatives à la vulnérabilité du bien et représentatives d'une estimation de l'impact d'au moins une faille de sécurité de type prédéterminé sur le bien et d'un facteur de sévérité de la faille, et un indicateur de sécurité dépendant de mesures de base relatives à une assurance de conformité du bien par rapport à une politique de sécurité préétablie. Le dispositif selon l'invention gère ainsi divers types d'indicateur et les réactions appliquées ou à appliquer à la suite de la modification de tout indicateur. Le signalement de la modification d'un indicateur conduit l'administrateur du dispositif à connaître le détail d'un problème de sécurité du système informatique pour intervenir sur le bien 1 o signalé par l'indicateur modifié afin de résoudre le problème de sécurité correspondant.
L'invention se rapporte aussi à un programme d'ordinateur apte à être mis en oeuvre dans un dispositif de supervision de l'invention, ledit programme 15 comprenant des instructions qui, lorsque le programme est exécuté dans le dispositif de supervision, réalisent les étapes du procédé de l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs 20 réalisations de l'invention données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels : - la figure 1 est un bloc-diagramme schématique d'un dispositif de supervision selon l'invention pour superviser des biens informatiques d'un système informatique ; 25 - la figure 2 est un algorithme du procédé de supervision selon l'invention pour déterminer notamment un indicateur de sécurité d'un bien élémentaire et un indicateur de sécurité d'un bien de groupement ; - la figure 3 est un bloc-diagramme schématique d'un système informatique à plusieurs biens de groupement tels que réseaux, services et 30 sites , - la figure 4 est un diagramme de l'impact d'une anomalie d'assurance de conformité dans un pare-feu du système informatique de la figure 3 sur des biens de groupement ; et; - la figure 5 montre schématiquement une page d'écran avec l'impact de 35 l'anomalie d'assurance de conformité propagée dans les biens de groupement du système informatique.
En référence à la figure 1, un dispositif de supervision de sécurité DS selon l'invention est destiné à superviser la sécurité d'un système informatique SY qui comporte de nombreux biens informatiques élémentaires BI et qui est donc de manière générale complexe. Il supervise l'état de sécurité de biens informatiques élémentaires afin de présenter les états de sécurité de biens de groupement BIg regroupant des biens informatiques élémentaires en vue de proposer un plan de réaction pour inhiber des anomalies détectées dans les biens informatiques élémentaires. Par exemple, le système informatique appartenant à une société, ou à une 1 o société et à ses filiales, est organisé en des réseaux installés dans des sites géographiques et offre des services métiers rendus aux employés-usagers de la société. Les biens informatiques élémentaires BI à superviser dans le système informatique SY sont de diverses natures techniques. Par exemple, les biens 15 élémentaires BI sont des machines informatiques, telles que des ordinateurs, périphériques, terminaux fixes ou mobiles, serveurs, routeurs, passerelles, interfaces, commutateurs, etc., dont certains peuvent être des biens enfants incluant des biens parents tels que des composants matériels et logiciels inclus. Les biens élémentaires BI peuvent être encore des applications et des 20 systèmes d'exploitation installés dans les machines informatiques, dont certains peuvent être des biens enfants incluant des biens parents tels que des modules logiciels et programmes informatiques. Ainsi plus généralement, un bien élémentaire BI à superviser peut ne comporter aucun autre bien élémentaire parent à superviser, ou comprendre un ensemble de biens 25 élémentaires parents à superviser dont certains peuvent être eux-mêmes des biens élémentaires composites. Par exemple, un ensemble de biens élémentaires parents à superviser peut être une machine en tant que bien enfant comportant plusieurs applications et/ou dispositifs matériels ou logiciels, tels que contrôleurs, à superviser. 30 Les biens de groupement BIg sont des réseaux de communication locaux ou étendus interconnectant des machines, comme un réseau de serveurs et un réseau de terminaux d'usagers, des services ayant chacun des parties à superviser déployées sur au moins deux machines, comme des applications déployées sur plusieurs serveurs, et des sites géographiques regroupant 35 chacun des machines et/ou un ou plusieurs réseaux et/ou un ou plusieurs services à superviser. Le dispositif de supervision DS peut être un ordinateur avec une interface homme machine IHM incluant une console de supervision. Le dispositif de supervision DS est en communication avec des unités de gestion UG et comprend une unité d'uniformisation de données UU, une unité de détermination d'indicateurs UDI reliée à l'unité UU et l'interface homme machine IHM reliée à l'unité UDI. L'interface IHM sert notamment à activer automatiquement ou manuellement le dispositif DS, à saisir diverses données comme des identificateurs et des caractéristiques des biens BI et BIg, à paramétrer des fonctions pour déterminer des indicateurs de sécurité des biens et des fonctions dans les unités de gestion UG qui leurs sont associées, à saisir l'architecture du système SY, à afficher notamment les indicateurs des 1 o biens et l'état de sécurité du système et à signaler des alarmes.
Les unités de gestion UG analysent des états de sécurité des biens du système SY. Chaque bien informatique élémentaire BI à superviser est un bien souvent associé à de nombreuses unités de gestion respectives UG. 15 Cependant, un bien de groupement BIg comportant plusieurs biens élémentaires à superviser, comme un réseau, un service ou un site, n'est pas associé directement à des unités de gestion, et n'est associé qu'indirectement aux unités de gestion des biens élémentaires qu'il comprend que par l'intermédiaire de ces biens élémentaires, selon une hiérarchie arborescente 20 des biens du système, comme illustré aux figures 2 et 4 décrites plus loin. L'association d'un bien élémentaire BI à une unité de gestion respective UG peut être une liaison interne et/ou externe au bien élémentaire, lorsque l'unité de gestion est située dans le bien élémentaire ou à proximité de celui-ci. Par exemple, une unité de gestion est un détecteur, une sonde, un automate ou un 25 agent logiciel intégré ou additionné au bien BI, et apte à détecter des états de sécurité, comme des évènements ou comportements prédéterminés apparaissant dans le bien élémentaire BI, et à les contrôler en fonction de règles préprogrammées, afin de signaler des anomalies de fonctionnement du bien. Par exemple, une anomalie peut être un accès non autorisé à une 30 application dans une machine ou en relation avec un service, une erreur dans l'analyse du déroulement d'un protocole de communication, un message ou paquet prédéterminé entrant ou sortant sondé dans le trafic sur un port d'une machine ou d'un composant interne à cette machine, ou sur une liaison à ou dans une machine, un réseau ou un site. L'association d'un bien élémentaire BI 35 à une unité de gestion respective UG peut être aussi une relation conceptuelle lorsque l'unité de gestion repose sur des données statistiques délivrées par une base de connaissances relatives à des évènements ou comportements prédéterminés d'un bien similaire audit bien élémentaire BI, signalés par des tiers. Le code de chaque unité de gestion peut être modifiable afin de paramétrer l'évaluation de la mesure de base associée. Comme montré schématiquement à la figure 1, un bien informatique élémentaire BI est associable à une ou plusieurs unités de gestion de disponibilité UGD, et/ou à une ou plusieurs unités de gestion d'incident UGI et/ou à une ou plusieurs unités de gestion de vulnérabilité UGV et/ou à une ou plusieurs unités de gestion d'assurance de conformité UGA. Chaque unité de gestion UGD, UGI, UGV, UGA transmet, périodiquement ou en dépendance de l'apparition d'au moins un évènement ou comportement qui lui est propre, des données respectives DD, DI, DV, DA à l'unité d'uniformisation des données UU. Ces données sont notamment une adresse, un identificateur du bien associé et une mesure de base MB destinée à la détermination d'un indicateur respectif ID, II, IV, IA du bien élémentaire BI auquel l'unité de gestion est associée. L'unité d'uniformisation de données UU collecte à travers des réseaux sécurisés toutes les données DD, DI, DV, DA notifiées par les unités de gestion UG et les formate en des structures de données uniformes SDD, SDI, SDV, SDA dans lesquelles apparaissent toutes les données nécessaires à la détermination dans l'unité UDI des indicateurs de sécurité ID, II, IV, IA du bien informatique élémentaire BI, indépendamment de la nature technique du bien. Chaque indicateur dépend d'une ou plusieurs structures de données uniformes. Chacune des structures de données SDD, SDI, SDV et SDA pour la détermination des indicateurs respectifs ID, II, IV et IA d'un bien élémentaire BI inclut une métrique ME. Une métrique ME est une combinaison de mesures dérivées MD relatives à un thème commun, comme la mise en place d'une administration à distance du bien, ou la surveillance de protocoles de réseau ou de protocoles de transport, ou d'étapes prédéterminées de sessions dans le bien élémentaire. Une mesure dérivée MD est une combinaison de mesures de base interdépendantes MB transmises par des unités de gestion à l'unité d'uniformisation UU. Une mesure de base MB représente un contrôle mesuré en un point particulier du bien élémentaire BI par une unité de gestion UG. L'interdépendance de deux mesures de base MB concernant le bien élémentaire signifie que les mesures de base ont des caractéristiques communes. Par exemple, dans le cadre d'une sécurisation de connexions à distance d'une machine recourant à des protocoles de transport, des mesures de base interdépendantes vérifient que les protocoles de transport sont acceptables par une politique de sécurité, ou ont des adresses de paquets entrants compatibles avec des règles de sécurité.
Une mesure de base MBD relative à la disponibilité est un taux de disponibilité exprimé en pourcentage d'un composant du bien élémentaire associé. Les valeurs du taux de disponibilité sont par exemple de 100%, 75%, 50%, 25% et 0% respectivement lorsque la disponibilité du composant associé est entièrement disponible, en suspens, dangereuse, critique ou inconnue. Par exemple, des mesures de base MBD d'un terminal sont des mesures de taux de disponibilité de plusieurs applications de bureautique et de plusieurs périphériques du type imprimante et scanneur reliés directement au terminal. Deux mesures dérivées MDD relatives à cet exemple de disponibilité sont la 1 o moyenne des taux de disponibilité des applications et la moyenne des taux de disponibilité des périphériques mesurés sur les ports du terminal reliés aux périphériques. La métrique MED pour cet exemple de disponibilité est une relation linéaire des deux moyennes des taux de disponibilité affectées de facteurs différents et représente une disponibilité du terminal en matière de 15 bureautique. Selon un autre exemple, des mesures de base relatives à la disponibilité d'un serveur de service peuvent être basées sur les comptes de compteurs d'usagers visiteurs pour des applications de service prédéterminées pendant une période donnée, et/ou sur le nombre de ports ouverts et le nombre de ports fermés de protocoles prédéterminés. 20 La mesure de base MBA relative à l'assurance de conformité est un taux d'assurance exprimant en pourcentage qu'une étape ou un processus du fonctionnement du bien élémentaire associé est assurée d'être relativement conforme à une ou plusieurs règles d'une politique de sécurité préétablie. Les valeurs du taux de d'assurance sont par exemple de 100%, 75%, 50%, 25% et 25 0% respectivement lorsque l'étape ou le processus de fonctionnement est totalement conforme, peu dégradé, moyennement dégradé, fortement dégradé et non-conforme. Par exemple, des mesures de base MBA pour l'assurance de conformité d'un accès à distance à un serveur d'authentification sont relatives à un contrôle de l'installation d'une interdiction d'accès à des usagers 30 prédéterminés dans le serveur et un contrôle d'une authentification mutuelle entre le serveur et un terminal d'usager pour ouvrir une session sécurisée. La mesure dérivée MDA relative à cet exemple de l'assurance de conformité est la valeur minimale des taux d'assurance associés aux deux contrôles précédents, exprimant la sécurisation à distance de l'accès au serveur d'authentification. La 35 métrique MEA pour cet exemple d'assurance de conformité est la valeur minimale de la mesure dérivée précédente MDA et d'une autre mesure dérivée exprimant des mesures de base relatives au contrôle de requêtes d'un protocole de transport particulier dans une interface de connexion du serveur et représente une assurance de conformité d'un accès au serveur d'authentification selon le protocole de transport particulier. Une structure de données SDI pour la détermination d'un indicateur d'intrusion II peut être déclarée sous le format IODEF ("Incident Object Description Exchange Format" en anglais) de la recommandation RFC 5070 et être définie notamment par une classe du bien élémentaire BI impliqué dans l'incident relatif à l'intrusion, une instance indiquant le type du bien infecté par l'incident, les instants de début et de fin de l'incident, le type d'incident et la description de l'historique de l'incident, ce qui contribue à la traçabilité de l'incident, et la description d'une action pour remédier à l'incident. En particulier, la structure de données SDI inclut une métrique MEI qui dépend de comptes de compteurs d'incidents d'intrusion, en tant que mesures de base, associés à des facteurs de sévérité et un type d'incident. Un compteur d'incidents d'intrusion est incrémenté d'une unité dès que l'unité de gestion incluant le compteur d'incidents détecte un incident d'intrusion respectif dans le bien élémentaire BI correspondant au facteur de sévérité et au type d'incident associés au compteur d'incidents et est décrémenté lorsqu'un tel incident est résolu. Le facteur de sévérité associé à un compteur d'incident est d'autant plus élevé que l'incident est grave. Des compteurs d'incidents inclus dans des unités de gestion UGI associées au bien BI peuvent être classés par type d'incident. Par exemple, le bien élémentaire BI est associé à trois compteurs d'incidents associés à un type d'incident et à des facteurs de sévérité représentatifs d'un incident mineur, d'un incident moyen et d'un incident majeur. Les comptes des trois compteurs d'incidents, en tant que mesures de base MBI, sont combinés en une mesure dérivée MDI dépendant des facteurs de sévérité, et les mesures dérivées MDI relatives à des types d'incident d'une catégorie commune sont combinées en une métrique d'incident MEI représentant la gravité des incidents de cette catégorie qui sont survenus et non résolus dans le bien élémentaire BI. Un incident dans une machine ou une application peut être une attaque plus ou moins grave, comme par exemple l'intrusion d'une commande dans un programme défaillant par un attaquant pour installer un script téléchargé, l'injection d'un code malveillant dans une partie d'une application pour modifier le code de celle-ci et exécuter des commandes particulières en réponse à un message ou paquet dupliqué, une saturation d'un serveur d'attribution d'adresses IP ou d'une liaison reliée au serveur par inondation d'un nombre élevé de requêtes, etc. Une structure de données SDV pour la détermination d'un indicateur de vulnérabilité IV d'un bien élémentaire BI inclut une métrique MEV qui est représentative de l'estimation de l'impact d'une faille de sécurité sur le bien élémentaire BI auquel elle se rapporte. Une faille de sécurité est une menace potentielle et peut permettre à un intrus d'accéder plus ou moins facilement au bien élémentaire. Elle peut être un bogue résultant d'erreurs de programmation d'une application, ou apparaissant lors de l'installation d'une nouvelle application dans une machine permettant par exemple d'accéder à des données confidentielles ou à l'ouverture d'un port, une interprétation erronée d'un script ou d'une commande, etc. La structure de données SDV inclut une métrique de vulnérabilité MEV qui estime l'impact de failles de sécurité d'une 1 o même catégorie. Chaque faille de cette catégorie est définie par un taux de confiance dans l'impact de la faille dans le bien élémentaire BI, un facteur de sévérité et un type de la faille. La structure de données SDV inclut également un nom court et une description détaillée de la faille de sécurité de cette catégorie, des solutions pour remédier à la faille, et des références à des 15 bases de connaissances de vulnérabilité relatives à la faille et maintenues par des tiers. Une référence est caractérisée par un identificateur unique et le nom de la base de connaissances, comme par exemple les bases CVE ("Computer Vulnerabilities and Exposures" en anglais) et Bugtraq. Par exemple, une unité de gestion associée au bien BI inclut un compteur de vulnérabilité associé à un 20 facteur de sévérité et un type de la faille dont le compte, en tant que mesure de base, est incrémenté du taux de confiance d'une faille signalée à l'unité de gestion et ayant un facteur de sévérité et un type associés à l'unité de gestion. Des compteurs de vulnérabilité inclus dans des unités de gestion UGV associées au bien élémentaire BI peuvent être classés par facteur de sévérité 25 et type de faille. Pour un type de faille, trois facteurs de sévérité peuvent être prévus: faible, moyen et élevé. Une mesure dérivée MDV combine les comptes des trois compteurs de vulnérabilité, en tant que mesures de base MBV, en fonction des facteurs de sévérité. Une métrique de vulnérabilité MEV représentant la vulnérabilité de failles d'une catégorie combine les mesures 30 dérivée MDV d'une catégorie de failles dans le bien BI en fonction des types des failles.
L'unité d'uniformisation des données UU transmet les structures de données uniformes SDD, SDI, SDV et SDA à l'unité de détermination des 35 indicateurs UDI. Chaque bien élémentaire BI dans l'unité UDI est caractérisé notamment par les informations suivantes qui sont mémorisées dans l'unité UI: - une criticité CR indiquant l'importance du bien élémentaire par rapport au besoin de l'utilisateur du système SY qui est définie préalablement par l'administrateur du dispositif de supervision DS et qui est fonction du déploiement et du rôle du bien élémentaire BI qu'il joue dans l'activité métier de l'utilisateur. Par exemple, la criticité d'un serveur ou d'un routeur est supérieure à celle d'un terminal d'usager, et la criticité d'une application d'authentification dans une machine est supérieure à une application de service ou de bureautique; - des structures de données uniformes SDD, SDI, SDV et SDA du bien 1 o élémentaire qui servent à déterminer respectivement les indicateurs de disponibilité ID, d'intrusion II, de vulnérabilité IV et d'assurance de conformité IA du bien élémentaire; et - les indicateurs de sécurité de disponibilité ID, d'intrusion II, de vulnérabilité IV et d'assurance de conformité IA qui traduisent le niveau de 15 sécurité global du bien élémentaire; et si le bien est un bien enfant, tel qu'un bien de groupement Blg, comprenant plusieurs biens élémentaires supervisés, les indicateurs de sécurité des biens parents qu'il contient. Un bien de groupement Blg est supervisé également grâce à la 20 détermination d'un indicateur de disponibilité, d'un indicateur d'intrusion, d'un indicateur de vulnérabilité et d'un indicateur d'assurance de conformité. Chacun de ces indicateurs dépend des indicateurs de même type des biens élémentaires que le bien de groupement contient et ne dépend directement d'aucune métrique propre au bien de groupement. Les métriques ne sont 25 associées qu'à des biens élémentaires.
Le procédé de détermination d'indicateur de sécurité est illustré à la figure 2 et comprend des étapes DI1 à DI6 pour déterminer un indicateur, désigné par I, d'un bien élémentaire BI, qui est l'un des indicateurs ID, Il IV et IA du bien BI 3o tel qu'une machine, ou une partie matérielle ou logicielle de celle-ci ou une application ou une partie de celle-ci. La détermination de l'indicateur I est déclenchée automatiquement pour le bien BI chaque fois qu'une mesure de base MBm du bien dont dépend l'indicateur I est modifiée à la suite d'un évènement ou d'un comportement prédéterminé détecté dans le bien 35 élémentaire par l'une UGm des unités de gestion associée au bien élémentaire, à l'étape DI1. L'indicateur I du bien BI est également déterminé automatiquement chaque fois qu'un indicateur de sécurité Igp du même type que l'indicateur 1 et associé à un bien élémentaire parent BIp inclus dans le bien BI, en tant que bien enfant, est mis à jour, comme on le verra plus loin. Toutes les données mises à jour résultant de la modification d'une mesure de base MBm sont sauvegardées dans les unités UU et UDI afin d'être utilisées pour des mises à jour ultérieures d'indicateurs à la suite de modifications d'autres mesures de base. Préalablement, avant l'exploitation du dispositif de supervision DS, l'administrateur de celui-ci a saisi la hiérarchie arborescente des biens supervisés du système SY pour la mémoriser dans l'unité UDI. Un exemple de hiérarchie arborescente est représenté schématiquement à la figure 5 décrite plus loin. Toutes les fonctions désignées ci-après par "algorithmes" pour déterminer des mesures dérivées, des métriques et des indicateurs sont paramétrables par l'administrateur du dispositif DS via l'interface IHM lors de phases de configuration. La mise à jour de la mesure de base MBm du bien élémentaire BI, appelée interprétation, se produit si un contrôle ou un incident est reçu par l'unité de gestion UGm associée au bien BI et gérant la mesure de base MBm, ce qui modifie la valeur de la mesure de base MBm, à l'étape DI1. L'unité de gestion UGm contient un algorithme d'interprétation spécifique pour modifier la mesure de base MBm. L'unité d'uniformisation de données UU réévalue à l'étape DI2 la mesure dérivée MDm dépendant de la mesure de base modifiée MBm et des autres mesures de base MB associées au bien BI et interdépendantes avec la mesure de base MBm selon un autre algorithme d'interprétation spécifique AMD inclus dans l'unité UU. Puis l'unité UU réévalue et mémorise à l'étape DI3 la métrique MEm dépendant de la mesure dérivée réévaluée MDm et des autres mesures dérivées MD associées au bien BI selon un algorithme de normalisation spécifique AME inclus dans l'unité UU. L'unité UU constitue une structure de données SD notamment avec la mesure dérivée réévaluée MDm. L'unité de détermination d'indicateurs UDI détermine ensuite automatiquement l'indicateur I du bien BI dépendant de la métrique mise à jour réévaluée MEm, en exécutant respectivement des algorithmes d'agrégation implémentés dans l'unité UDI, suivant les trois étapes suivantes DI4, DI5 et DI6. Ces algorithmes agrègent chacun des variables homogènes et respectent le formalisme établi par l'unité UDI. Pour chacun des indicateurs de sécurité ID, II, IV et IA, trois algorithmes d'agrégation propres à l'indicateur de sécurité ont pu être présélectionnés dans une bibliothèque d'algorithmes de l'unité UDI par l'administrateur du dispositif de supervision DS, respectant le formalisme établi par l'unité UDI. Ces algorithmes sont interchangeables et paramétrables en fonction des besoins de l'utilisateur du système, notamment de l'architecture du système informatique SY et des types des biens supervisés qu'il contient. Des algorithmes inclus par défaut dans la bibliothèque sont par exemple le minimum, le maximum et la moyenne pondérée par les criticités des biens parents contenus dans le bien élémentaire BI dont l'indicateur est à déterminer. L'administrateur peut ajouter d'autres algorithmes pour satisfaire des problématiques spécifiques. A l'étape DI4, l'unité de détermination d'indicateurs UDI agrège la métrique MEm réévaluée à l'étape DI3 et, si elles existent, une ou plusieurs autres métriques mémorisées ME du bien élémentaire BI relatives au même type d'indicateur, en appliquant un algorithme d'agrégation de métriques AAM sur ces métriques pour produire une métrique d'agrégation MEA(BI) du bien BI. Par exemple, si le bien BI a une autre métrique ME et si l'algorithme AAM est fondé sur le minimum, la métrique d'agrégation est: MEA(BI) = AAM(MEm, ME) = min(MEm, ME). A l'étape DI5, l'unité UDI agrège des indicateurs Igp des biens parents Blgp inclus dans le bien BI, si le bien BI inclut au moins un bien parent Blgp, ou plus généralement est un bien composite. L'unité UDI applique pour cela un algorithme d'agrégation d'indicateur de bien parent AAI sur les indicateurs Igp pour produire un indicateur d'agrégation de bien parent IA(BI). Par exemple, si le bien BI, comme une machine informatique, inclut trois biens parents BIgpl, BIgp2 et BIgp3 ayant des indicateurs Ipgl, Ipg2 et Ipg3, comme des applications implémentées dans la machine, et si l'algorithme AAI est fondé sur la moyenne pondérée par les criticités CRgpl, CRgp2 et CRgp3 des biens parents BIgpl, BIgp2 et BIgp3, l'indicateur d'agrégation de bien parent est: IA(BI) = AAI(Igpl, Igp2, Igp3), soit IA(BI) = [CRgp1 x Igpl + CRgp2 x Igp2 + CRgp3 x Igp3 ]/[CRgpl + CRgp2 + CRgp3]. A l'étape DI6, l'unité UDI agrège les résultats MEA(BI) et IA(BI) des agrégations précédentes, s'ils existent, en appliquant un algorithme d'agrégation globale AAG sur ces résultats pour produire l'indicateur mis à jour I du bien BI. Par exemple, l'algorithme AAG est fondé sur le maximum, et l'indicateur mis à jour est: I(BI) = AAG(MEA(BI), IA(BI)) = max(MEA(BI), IA(BI)).
Si le bien BI en tant que bien parent est inclus dans un ou plusieurs biens enfants Ble selon la hiérarchie arborescente des biens supervisés du système SY, comme une application, ou une machine, ou un module matériel ou logiciel inclus en tant que bien élémentaire dans un bien de groupement BIg, tel que réseau, service ou site, l'indicateur de sécurité de chaque bien enfant Ble hérite automatiquement de la mise à jour de l'indicateur I du bien élémentaire BI. Préalablement, pour tout bien enfant Ble et en particulier pout tout bien de groupement BIg, le procédé comprend une étape initiale de groupage DIO pour configurer dans l'unité UDI le bien enfant Ble avec les identificateurs des biens élémentaires BI qu'il contient. Pour mettre à jour l'indicateur de sécurité du bien enfant Ble, l'unité UDI exécute alors l'étape DI7 similaire à l'étape DI5, et si le bien enfant n'est pas un bien de groupement BIg, l'étape DI8 similaire à l'étape DI6. A l'étape DI7, l'unité UDI agrège des indicateurs Ip des biens parents BIp inclus dans le bien Ble, y compris l'indicateur I du bien BI, si le bien Ble inclut au moins un bien parent, ou plus généralement est un bien composite. L'agrégation s'effectue en appliquant un algorithme d'agrégation d'indicateur AAIe propre au bien enfant Ble sur les indicateurs Ip des biens parents BIp et leurs criticités pour produire un indicateur d'agrégation de bien parent IA(BIe). A l'étape DI8, si le bien enfant Ble n'est pas un bien de groupement et est un bien élémentaire associé à au moins une métrique MEA(BIe), l'unité UDI agrège la métrique d'agrégation MEA(BIe) du bien enfant Ble mémorisée dans l'unité UDI et l'indicateur d'agrégation de bien parent IA(BIe) résultant de l'agrégation précédente en appliquant un algorithme d'agrégation globale AAGe propre au bien enfant Ble sur les variables MEA(BIe) et IA(BIe) pour produire l'indicateur I(BIe) mis à jour du bien enfant Ble. Des étapes similaires aux étapes DI7 et DI8 sont exécutées par l'unité UDI pour mettre à jour les indicateurs du même type que l'indicateur I du bien BI, associés à tous les biens incluant le bien BI, pour toutes les "générations" de bien devant hériter de la mise à jour de l'indicateur I dans l'arbre hiérarchique du système SY. Par exemple, le bien BI est une application Ap incluse dans un serveur Srl également inclus dans l'un Res1 des réseaux localisé dans un site géographique Sil. Le serveur Srl participe à un service Sc1. Les indicateurs du même type que l'indicateur mis à jour de l'application Ap, associés au serveur Srl sont d'abord mis à jour. Puis les indicateurs de même type associés au réseau Res1, au service Sc1 et au site Sil sont respectivement mis à jour. L'interface homme machine IHM affiche rapidement d'une manière compréhensible la propagation de l'impact de la modification de toute mesure de base ou de tout indicateur à travers le système supervisé SY. Par exemple, la propagation de l'impact probable de l'indisponibilité d'un serveur, ou d'un incident détecté au cours du déroulement d'une application, ou d'une infection d'une page ou d'un script téléchargé dans une machine, ou de la non- conformité d'une mise à jour d'une application, est immédiatement affichée à l'écran de l'interface IHM dans le système SY modélisé. Ainsi, selon l'invention, l'unité de détermination d'indicateur UDI considère différentes orientations d'analyse relatives aux biens de groupement BIg qui sont: - une orientation vers un ou plusieurs des réseaux informatiques auxquels appartiennent des machines informatiques incluant elles-mêmes des applications; - une orientation vers un ou plusieurs services relatifs aux métiers des 1 o usagers et nécessaires aux activités de la société possédant le système supervisé SY; et - une orientation vers un ou plusieurs sites représentant la répartition géographique des biens informatiques, matériels et logiciels, de la société. Ces orientations sont partie intégrante d'un modèle unique qui contient 15 l'ensemble des biens à superviser du système SY, les relations qu'ils entretiennent les uns avec les autres et les découpages hiérarchiques correspondant aux orientations décrites ci-dessus. Dès qu'un indicateur d'un bien est mis à jour, l'unité UDI détermine automatiquement les indicateurs de tous les biens impactés suivant ces orientations. 20 En outre, l'unité de détermination d'indicateur UDI considère l'état connecté ou non connecté des machines dans le système informatique SY, par exemple par surveillance de l'ouverture de ports, afin de surveiller le périmètre de supervision de chaque usager autorisé à utiliser au moins l'une des machines et au moins l'un des services du système SY. Le périmètre de 25 supervision représente l'ensemble des biens que l'usager est autorisé à superviser. L'unité UDI évalue ainsi l'état de sécurité global du périmètre de supervision de l'usager connecté et l'interface IHM peut afficher l'impact de la modification de toute mesure de base ou de tout indicateur sur le périmètre de supervision afin notamment d'inviter l'usager à ne pas entreprendre ou cesser 30 certaines actions et commandes qui seraient dommageables sur ses travaux. Plus généralement, en fonction des modifications des indicateurs de sécurité ID, II, IV et IA traitées par l'unité UDI, cette dernière est capable de définir un plan de réaction à mettre en place par l'administrateur du dispositif de supervision DS. Par exemple, l'unité UDI établit une liste associant pour 35 chaque bien les quatre indicateurs de sécurité, les failles présentes, un incident et le plan de réaction associé. L'unité UDI transmet la liste à l'interface IHM qui l'affiche clairement selon une organisation particulière, comme montré à la figure 5.
Afin de mieux appréhender les avantages de l'invention, un exemple de l'impact d'une anomalie détectée dans une sonde, à travers un système informatique SY est détaillé ci-après. Comme montré à la figure 3, le système informatique est déployé essentiellement sur deux sites S11 et SI2 d'une société dans deux villes différentes. Le système informatique SY nécessite la mise en place d'un réseau global divisé en un réseau RS de serveurs SE et deux réseaux d'usagers RU1 et RU2 conjointement sur les deux sites S11 et SI2. Chaque réseau d'usagers RU1, RU2 comprend un serveur SE1, SE2 et des terminaux TU1, TU2 reliés par un commutateur CU1, CU2. Le réseau de serveurs RS est installé dans un centre informatique du premier site S11 comprenant un routeur ROI desservant les réseaux RS et RU1. Les réseaux RS, RU1 et RU2 sont supervisés en matière de sécurité par un réseau d'hypervision RH à travers un réseau sécurisé dédié RSD d'un opérateur de télécommunications comportant entre autres des routeurs RO. Le réseau d'hypervision RH est installé dans le premier site S11 et comprend notamment un dispositif de supervision de sécurité DS selon l'invention relié à un serveur d'hypervision SEH connecté à travers un pare-feu PH à un routeur RO du réseau sécurisé dédié RSD.
La société met à disposition de ses employés-usagers un service d'accès à une messagerie électronique "Web Mail" via une page Web. Dans le réseau de serveurs RS, le service Web Mail est rendu par un serveur Web et un serveur de courrier électronique Mail et nécessite la présence d'un serveur de nom de domaine DNS ("Domain Name System" en anglais) et d'un serveur d'attribution dynamique d'adresses DHCP ("Dynamic Host Configuration Protocol" en anglais). Le réseau de serveurs RS comprend en outre un serveur d'accès à des annuaires d'informations d'usagers LDAP ("Lightweight Directory Access Protocol" en anglais), un commutateur CS reliés aux serveurs et un pare-feu PRS assurant la protection des services offerts par les serveurs du réseau RS. Les informations de sécurité en provenance du réseau de serveurs RS des réseaux d'usagers RU1 et RU2 et du réseau d'hypervision RH sont notifiées par des sondes, en tant qu'unités de gestion UG, disposées dans ces réseaux à destination du dispositif de supervision de sécurité DS. Afin de ne pas surcharger la figure 3, quelques sondes SS, SPRS, SU1, SS1, SU2, SS2 et SPH dans ces réseaux y sont schématiquement représentées. Il est supposé que l'anomalie détectée dans une sonde SPRS est relative à une mesure de base MBA relative à l'assurance de conformité du pare-feu PRS dans le réseau de serveurs RS. Le scénario suivant représenté à la figure 4 montre comment l'impact d'un défaut de conformité du pare-feu PRS sur les réseaux, services et sites supervisés est propagé et signalé au dispositif DS. Initialement tous les contrôles effectués dans le système supervisé SY signalent une conformité totale à la politique de sécurité préétablie. Les taux d'assurance MBA, en tant que mesures de base, relatifs à tous les biens informatiques supervisés cités ci-dessus dans le système SY sont donc de 100%. Notamment dans le pare-feu PRS protégeant le service Web Mail, deux 1 o métriques sont surveillées par des sondes SPRS : l'administration à distance MEA1 et le filtrage MEA2, comme montré à la figure 4. Les métriques MEA1 et MEA2 nécessitent des mesures de base MBA11 et MBA21 pour contrôler le paramétrage de protocoles d'accès à distance tels que UDP ("User Datagram Protocol" en anglais), TCP ("Transmission Control Protocol" en anglais) et 15 ICMP ("Internet Control Message Protocol" en anglais) et l'écoute de connexions par ces protocoles vers le pare-feu PRS, et des mesures de base MBAl2 et MBA22 pour contrôler l'intégrité de fichiers de paramétrage de règles de filtrage et leur adéquation à la politique de sécurité. Ces mesures de base sont effectuées périodiquement. 20 L'unité d'uniformisation de données UU combine les mesures de base MBA11 et MBAl2 en des mesures dérivées MDA11 et MDAl2 et les mesures de base MBA21 et MBA22 en des mesures dérivées MDA21 et MDA22, et les mesures dérivées MDA11 et MDAl2 en la métrique MEA1 et les mesures dérivées MDA21 et MDA22 en la métrique MEA2. L'unité de détermination des 25 indicateurs UDI combine les métriques MEA1 et MEA2 en un indicateur d'assurance de conformité IAPRS pour le bien élémentaire constitué par le pare-feu PRS. Comme tous les contrôles traduisent une conformité totale, les mesures de base, les mesures dérivées, les métriques et l'indicateur d'assurance sont à un état "vert" correspondant à des taux d'assurance à 3o 100%. Au cours de contrôles sur le pare-feu PRS, une sonde SPRS détecte une anomalie sur des règles de filtrage par exemple en détectant qu'un protocole TCP non sécurisé est déclaré comme autorisé alors que la politique de sécurité stipule qu'il ne doit pas l'être. 35 Automatiquement l'indicateur d'assurance de conformité IAPRS du pare-feu PRS est à nouveau déterminé de la manière suivante. La mesure de base MBA21 relative au filtrage du protocole TCP passe à un état "rouge" de non-conformité. En supposant que la fonction d'interprétation de la mesure dérivée MDA21 relative au filtrage de protocoles stipule que sa valeur est fonction de la valeur minimale des mesures de base MBA21 dont elle dépend, la mesure dérivée MDA21 passe à un état "rouge". En supposant que la fonction de normalisation de la métrique MEA2 relative au filtrage stipulé est le minimum des mesures dérivées MDA21 et MDA22 dont elle dépend, la métrique MEA2 passe à un état "rouge" également. En supposant que la fonction d'agrégation pour l'indicateur d'assurance IAPRS du pare-feu PRS est la moyenne pondérée des métriques MEA1 et MEA2 et que le poids de la métrique de filtrage MEA2 est plus élevé que celui de la métrique d'administration à distance MEA1, l'indicateur IAPRS du pare-feu PRS passe à un état "orange foncé" (doublement hachuré) pour traduire une assurance fortement non-conforme, par exemple correspondant à un taux d'assurance compris entre 25% et 49%. Les éléments doublement hachurés dans la figure 4 illustre une première indication de l'impact de l'anomalie détectée sur le bien PRS directement concerné. L'unité UDI dans le dispositif de supervision DS propage aussi l'impact de l'anomalie détectée à tous les biens informatiques enfants Web Mail, SI1, RS et SY dépendant du bien concerné PRS. Le pare-feu PRS protégeant le service Web Mail, l'assurance de conformité de ce service devient dégradée. L'impact dépend de l'algorithme d'agrégation relatif aux indicateurs d'assurance des biens inclus dans le service Web Mail. Cet algorithme d'agrégation est par exemple une moyenne des indicateurs d'assurance des biens pondérée par le poids du pare-feu PRS et des poids des autres biens supervisés définis dans le service. En admettant que l'indicateur IAPRS du pare-feu a un poids très faible, l'indicateur d'assurance IAWM du service Web Mail est peu affecté et passe à un état peu dégradé "jaune" (pointillé), par exemple correspondant à un taux d'assurance compris entre 75% et 99%. Ceci est interprété comme un impact faible sur les terminaux d'usager utilisant le service Web Mail. 3o Dans le premier site SI1, le pare-feu PRS joue un rôle important mais parmi d'autres biens. L'indicateur d'assurance IASI1 du site S11 est aussi peu dégradé et passe à l'état "jaune" (pointillé). Ceci est interprété comme un impact physique faible. Tout bien du réseau de serveurs RS est considéré comme indispensable. 35 La dégradation de l'indicateur d'assurance d'un tel bien, comme l'indicateur IAPRS du pare-feu PRS, est interprétée dans l'unité UDI comme celle de tout le réseau RS en dépendance d'un algorithme d'agrégation basé sur le minimum des indicateurs d'assurance des biens supervisés inclus dans le réseau RS. Le réseau de serveurs RS a donc un indicateur d'assurance IARS fortement dégradé et passe à l'état "orange foncé" (doublement hachuré) comme l'indicateur d'assurance IAPRS. Ceci est interprété comme un impact très fort sur le réseau RS.
Dans le système informatique supervisé SY, le réseau de serveurs RS est considéré comme plus important que les réseaux d'usagers RU1 et RU2 et le réseau d'hypervision RH. L'algorithme d'agrégation pour l'assurance de conformité du système SY est par exemple une moyenne des indicateurs d'assurance IARS, IARU1, IARU2 et IARH des réseaux RS, RU1, RU2 et RH 1 o pondérée par les poids faibles des réseaux RU1, RU2 et RH et le poids plus élevé du réseau RS. Le système SY a donc un indicateur d'assurance IASY moyennement dégradée et passe à l'état "orange" (simplement hachuré), par exemple correspondant à un taux d'assurance compris entre 50% et 74%. Ceci est interprété comme un impact fort sur le système SY. 15 Comme montré à la figure 5, la console de supervision dans l'interface homme machine IHM affiche notamment les états de sécurité du service Web Mail, des sites S11 et SI2 et du système SY relatifs à leurs indicateurs d'assurance de conformité IAWM, IASI1, IASI2 et IASY avec les indicateurs d'assurance de conformité des biens parents respectifs dont ils héritent. Il 20 apparaît que la détection d'une anomalie de non-conformité dans le pare-feu PRS est répercutée simultanément suivant les trois orientations des réseaux, des services et des sites géographiques. La détection de l'anomalie a conduit à un impact faible pour les usagers et à un problème à résoudre en urgence par le service informatique de la société pour pallier une déficience importante de 25 la sécurité du réseau de serveurs RS.
L'invention décrite ici concerne un procédé et un dispositif de supervision de la sécurité d'un système informatique SY comprenant plusieurs biens informatiques élémentaires BI. Selon une implémentation, les étapes du 30 procédé de l'invention sont déterminées par les instructions d'un programme d'ordinateur incorporé dans la station de base. Le programme apte à être mis en oeuvre dans le dispositif de supervision de l'invention comporte des instructions de programme qui, lorsque ledit programme est exécuté dans le dispositif de supervision dont le fonctionnement est alors commandé par 35 l'exécution du programme, réalisent les étapes du procédé selon l'invention. En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur enregistré sur ou dans un support d'enregistrement lisible par un ordinateur et tout dispositif de traitement de données, adapté à mettre en oeuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention. Le programme peut être téléchargé dans la station de base via un réseau de communication, comme internet. Le support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un i o moyen de stockage sur lequel est enregistré le programme d'ordinateur selon l'invention, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou un moyen d'enregistrement magnétique, par exemple un disque dur.

Claims (15)

  1. REVENDICATIONS1 - Procédé pour superviser la sécurité d'un système informatique (SY) comprenant plusieurs biens informatiques élémentaires (BI), chaque bien élémentaire étant supervisé en dépendance de mesures de base (MB) représentatives d'états prédéterminés du bien élémentaire, et plusieurs biens de groupement (Ble, BIg) groupant respectivement des biens élémentaires, caractérisé en ce qu'il comprend une détermination (DI6) de plusieurs indicateurs de sécurité (I) de types différents pour chaque bien élémentaire 1 o supervisé (BI), chaque indicateur de sécurité étant déterminé selon une fonction respective (AMD, AME, AAM, AAG) de mesures de base (MB) associées à l'indicateur de sécurité, et une détermination (DI7) de plusieurs indicateurs de sécurité (IA(BIe)) de types différents pour chaque bien de groupement, chaque indicateur de sécurité d'un type donné d'un bien de 15 groupement étant déterminé selon une fonction respective (AAIe) des indicateurs de sécurité (I) du type donné des biens élémentaires (BIp) groupés dans le bien de groupement (Ble, BIg).
  2. 2 - Procédé conforme à la revendication 1, selon lequel l'un des biens de 20 groupement est un réseau (RS; RU1; RU2) de machines informatiques en tant que biens élémentaires groupés dans le bien de groupement.
  3. 3 - Procédé conforme à la revendication 1 ou 2, selon lequel l'un des biens de groupement est un service (Web Mail) fondé sur des applications, en 25 tant que biens élémentaires groupés dans le bien de groupement.
  4. 4 - Procédé conforme à l'une des revendications 1 à 3, selon lequel l'un des biens de groupement est un site géographique (SI1; SI2) groupant des machines informatiques et/ou des réseaux en tant que biens élémentaires 30 groupés dans le bien de groupement.
  5. 5 - Procédé conforme à l'une des revendications 1 à 4, selon lequel l'un (ID) des indicateurs de sécurité de chaque bien élémentaire (BI) dépend de mesures de base relatives à la disponibilité du bien (BI).
  6. 6 - Procédé conforme à l'une des revendications 1 à 5, selon lequel l'un (II) des indicateurs de sécurité de chaque bien élémentaire (BI) dépend de 35mesures de base relatives à au moins un type d'incident dans le bien (BI) et un facteur de sévérité du type d'incident.
  7. 7 - Procédé conforme à l'une des revendications 1 à 6, selon lequel l'un (IV) des indicateurs de sécurité de chaque bien élémentaire (BI) dépend de mesures de base relatives à la vulnérabilité du bien (BI) et représentatives d'une estimation de l'impact d'au moins une faille de sécurité de type prédéterminé sur le bien (BI) et d'un facteur de sévérité de la faille.
  8. 8 - Procédé conforme à l'une des revendications 1 à 7, selon lequel l'un (IA) des indicateurs de sécurité déterminé du bien élémentaire supervisé (BI) dépend de mesures de base relatives à une assurance de conformité du bien (BI) par rapport à une politique de sécurité préétablie.
  9. 9 - Procédé conforme à l'une des revendications 1 à 8, selon lequel la détermination (DI6) d'un indicateur de sécurité de type donné (I) d'un bien élémentaire (BI) comprend à la suite d'une modification (Dli) de l'une (MBm) des mesures de base associées à l'indicateur de sécurité (I), une évaluation (DI2) d'une mesure dérivée (MD) selon une fonction (AMD) 20 de la mesure de base modifiée (MBm) et d'au moins une autre mesure de base (MB) interdépendante avec la mesure de base modifiée, et une évaluation (DI3) d'une métrique (ME) selon une fonction (AME) de la mesure dérivée évaluée (MD) et d'au moins une deuxième mesure dérivée (MD) selon une fonction de mesures de base interdépendantes (MB) associées 25 à l'indicateur de sécurité de type donné (I) et différentes des mesures de base précédentes, l'indicateur de sécurité de type donné (I) étant déterminé selon une fonction (AAM) dépendant de la métrique évaluée (ME). 30
  10. 10 - Procédé conforme à la revendication 9, selon lequel la détermination (DI6) de l'indicateur de sécurité (I) du type donné du bien élémentaire (BI) comprend une agrégation (DI5) d'indicateurs de sécurité (I) du type donné de biens élémentaires parents (BIgp) inclus dans le bien élémentaire en un indicateur d'agrégation (IA(BI)), l'indicateur de sécurité (I) du bien élémentaire 35 étant déterminé selon une fonction (AAG) dépendant de la métrique évaluée (ME) et de l'indicateur d'agrégation (IA(BI)).
  11. 11 - Procédé conforme à l'une des revendications 1 à 10, selon lequel les fonctions (AMD, AME, AAM, AAG; AAIe, AAGe) sont paramétrables.
  12. 12 - Dispositif (DS) pour superviser la sécurité d'un système informatique (SY) comprenant plusieurs biens informatiques élémentaires (BI), le dispositif étant apte à collecter des mesures de base (MB) associées à chaque bien élémentaire et représentatives d'états prédéterminés du bien élémentaire, et plusieurs biens de groupement (Ble, BIg) groupant respectivement des biens élémentaires, caractérisé en ce qu'il comprend un moyen (UU, UDI) pour 1 o déterminer plusieurs indicateurs de sécurité (I) de types différents pour chaque bien élémentaire supervisé (BI), chaque indicateur de sécurité étant déterminé selon une fonction respective (AMD, AME, AAM, AAG) de mesures de base (MB) associées à l'indicateur de sécurité, et un moyen (UDI) pour déterminer plusieurs indicateurs de sécurité (IA(BIe)) de types différents pour chaque bien 15 de groupement, chaque indicateur de sécurité d'un type donné d'un bien de groupement étant déterminé selon une fonction respective (AAIe) des indicateurs de sécurité (I) du type donné des biens élémentaires (BIp) groupés dans le bien de groupement (Ble, BIg). 20
  13. 13 - Dispositif conforme à la revendication 12, dans lequel un bien de groupement (BIg) est l'un au moins des biens de groupement suivants: un réseau (RS; RU1; RU2) de machines informatiques en tant que biens élémentaires groupés, un service (Web Mail) fondé sur des applications en tant que biens élémentaires groupés, et un site géographique (SI1; SI2) groupant 25 des machines informatiques et/ou des réseaux en tant que biens élémentaires groupés.
  14. 14 - Dispositif conforme à la revendication 12 ou 13, dans lequel les moyens de détermination d'indicateur de sécurité de bien (UU, UDI; UDI) sont 30 adaptés à déterminer au moins l'un des indicateurs de sécurité suivants pour un bien élémentaire (BI) et un bien de groupement (BIg): un indicateur de sécurité dépendant de mesures de base relatives à la disponibilité du bien (BI; BIg), un indicateur de sécurité (II) dépendant de mesures de base relatives à au moins un type d'incident dans le bien (BI; BIg) et un facteur de sévérité du 35 type d'incident, un indicateur de sécurité (IV) dépendant de mesures de base relatives à la vulnérabilité du bien (BI; BIg) et représentatives d'une estimation de l'impact d'au moins une faille de sécurité de type prédéterminé sur le bien (BI; BIg) et d'un facteur de sévérité de la faille, et un indicateur de sécurité (IA)dépendant de mesures de base relatives à une assurance de conformité du bien (BI) par rapport à une politique de sécurité préétablie.
  15. 15 - Programme d'ordinateur apte à être mis en oeuvre dans un dispositif de supervision (DS) de la sécurité d'un système informatique (SY) comprenant plusieurs biens informatiques élémentaires (BI), chaque bien élémentaire étant supervisé en dépendance de mesures de base (MB) représentatives d'états prédéterminés du bien élémentaire, et plusieurs biens de groupement (Ble, BIg) groupant respectivement des biens élémentaires, caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans dispositif de supervision, réalisent les étapes du procédé conforme à l'une des revendications 1 à 11.
FR1055715A 2010-07-13 2010-07-13 Supervision de la securite d'un systeme informatique Expired - Fee Related FR2962826B1 (fr)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FR1055715A FR2962826B1 (fr) 2010-07-13 2010-07-13 Supervision de la securite d'un systeme informatique
CN201180033955.1A CN103140859B (zh) 2010-07-13 2011-07-08 对计算机***中的安全性的监控
PCT/EP2011/061697 WO2012007402A1 (fr) 2010-07-13 2011-07-08 Supervision de la sécurité dans un système informatique
ES11731341.1T ES2615727T3 (es) 2010-07-13 2011-07-08 Supervisión de la seguridad en un sistema informático
EP11731341.1A EP2593896B1 (fr) 2010-07-13 2011-07-08 Supervision de la sécurité dans un système informatique
US13/808,936 US9015794B2 (en) 2010-07-13 2011-07-08 Determining several security indicators of different types for each gathering item in a computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1055715A FR2962826B1 (fr) 2010-07-13 2010-07-13 Supervision de la securite d'un systeme informatique

Publications (2)

Publication Number Publication Date
FR2962826A1 true FR2962826A1 (fr) 2012-01-20
FR2962826B1 FR2962826B1 (fr) 2012-12-28

Family

ID=43567833

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1055715A Expired - Fee Related FR2962826B1 (fr) 2010-07-13 2010-07-13 Supervision de la securite d'un systeme informatique

Country Status (6)

Country Link
US (1) US9015794B2 (fr)
EP (1) EP2593896B1 (fr)
CN (1) CN103140859B (fr)
ES (1) ES2615727T3 (fr)
FR (1) FR2962826B1 (fr)
WO (1) WO2012007402A1 (fr)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5599535B2 (ja) * 2012-03-26 2014-10-01 三菱電機株式会社 シーケンスプログラムデバッグ支援装置
US10200865B2 (en) * 2013-08-29 2019-02-05 Nokia Technologies Oy Adaptive security indicator for wireless devices
AU2014388092A1 (en) * 2014-03-26 2016-09-29 Swiss Reinsurance Company Ltd. System for the measurement and automated accumulation of diverging cyber risks, and corresponding method thereof
US10162969B2 (en) * 2014-09-10 2018-12-25 Honeywell International Inc. Dynamic quantification of cyber-security risks in a control system
AU2014408538A1 (en) * 2014-10-06 2017-01-12 Swiss Reinsurance Company Ltd. System and method for pattern-recognition based monitoring and controlled processing of data objects based on conformity measurements
US11182476B2 (en) * 2016-09-07 2021-11-23 Micro Focus Llc Enhanced intelligence for a security information sharing platform
US10402570B2 (en) 2017-03-08 2019-09-03 Wipro Limited Method and device for software risk management within information technology (IT) infrastructure
US10757124B2 (en) * 2018-05-26 2020-08-25 Guavus, Inc. Anomaly detection associated with communities
WO2021035607A1 (fr) * 2019-08-29 2021-03-04 Siemens Aktiengesellschaft Procédé et système de surveillance de sécurité sur un système ot
FR3111442B1 (fr) * 2020-06-10 2023-07-28 Serenicity Dispositif d’analyse du risque informatique d’un ensemble de périphériques connectés sur un réseau

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002054325A2 (fr) * 2001-01-02 2002-07-11 Trusecure Corporation Procede oriente objet, systeme et support de gestion de risques reposant sur la creation d'interdependances entre objets, criteres et metriques
US6839850B1 (en) * 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US20050273851A1 (en) * 2004-06-08 2005-12-08 Krishnam Raju Datla Method and apparatus providing unified compliant network audit
US20060150248A1 (en) * 2004-12-30 2006-07-06 Ross Alan D System security agent authentication and alert distribution
WO2007050225A1 (fr) * 2005-10-28 2007-05-03 Microsoft Corporation Gestion de conformite alimentee par des risques
US20070143851A1 (en) * 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20080021922A1 (en) * 2006-07-21 2008-01-24 Brent Tzion Hailpern Method and system for maintaining originality-related information about elements in an editable object
US7607169B1 (en) * 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6947726B2 (en) * 2001-08-03 2005-09-20 The Boeing Company Network security architecture for a mobile network platform
US20080109396A1 (en) * 2006-03-21 2008-05-08 Martin Kacin IT Automation Appliance And User Portal
WO2009127984A1 (fr) * 2008-04-18 2009-10-22 International Business Machines Corporation Authentification des transmissions de données
US8850549B2 (en) * 2009-05-01 2014-09-30 Beyondtrust Software, Inc. Methods and systems for controlling access to resources and privileges per process
US8627414B1 (en) * 2009-08-04 2014-01-07 Carnegie Mellon University Methods and apparatuses for user-verifiable execution of security-sensitive code
US20110125548A1 (en) * 2009-11-25 2011-05-26 Michal Aharon Business services risk management
US20110225009A1 (en) * 2010-03-12 2011-09-15 Kress Andrew E System and method for providing geographic prescription data
US8713688B2 (en) * 2010-03-24 2014-04-29 Microsoft Corporation Automated security analysis for federated relationship

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6839850B1 (en) * 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
WO2002054325A2 (fr) * 2001-01-02 2002-07-11 Trusecure Corporation Procede oriente objet, systeme et support de gestion de risques reposant sur la creation d'interdependances entre objets, criteres et metriques
US7607169B1 (en) * 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US20050273851A1 (en) * 2004-06-08 2005-12-08 Krishnam Raju Datla Method and apparatus providing unified compliant network audit
US20060150248A1 (en) * 2004-12-30 2006-07-06 Ross Alan D System security agent authentication and alert distribution
WO2007050225A1 (fr) * 2005-10-28 2007-05-03 Microsoft Corporation Gestion de conformite alimentee par des risques
US20070143851A1 (en) * 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20080021922A1 (en) * 2006-07-21 2008-01-24 Brent Tzion Hailpern Method and system for maintaining originality-related information about elements in an editable object

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ANDREOZZI S ET AL: "GridICE: a monitoring service for Grid systems", FUTURE GENERATIONS COMPUTER SYSTEMS, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 21, no. 4, 1 April 2005 (2005-04-01), pages 559 - 571, XP025290540, ISSN: 0167-739X, [retrieved on 20050401], DOI: DOI:10.1016/J.FUTURE.2004.10.005 *

Also Published As

Publication number Publication date
CN103140859B (zh) 2016-09-07
WO2012007402A1 (fr) 2012-01-19
EP2593896A1 (fr) 2013-05-22
ES2615727T3 (es) 2017-06-08
US9015794B2 (en) 2015-04-21
EP2593896B1 (fr) 2016-12-14
CN103140859A (zh) 2013-06-05
FR2962826B1 (fr) 2012-12-28
US20130117812A1 (en) 2013-05-09

Similar Documents

Publication Publication Date Title
US11089045B2 (en) User and entity behavioral analysis with network topology enhancements
US11323484B2 (en) Privilege assurance of enterprise computer network environments
FR2962826A1 (fr) Supervision de la securite d'un systeme informatique
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
US20220060497A1 (en) User and entity behavioral analysis with network topology enhancements
US10135862B1 (en) Testing security incident response through automated injection of known indicators of compromise
US20130096980A1 (en) User-defined countermeasures
Ficco et al. Intrusion detection in cloud computing
US20060191007A1 (en) Security force automation
US10862921B2 (en) Application-aware intrusion detection system
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US20230412620A1 (en) System and methods for cybersecurity analysis using ueba and network topology data and trigger - based network remediation
US8307219B2 (en) Enterprise black box system and method for data centers
WO2020102601A1 (fr) Système et procédé de prévention de perte complète de données et de gestion de conformité
Kanstrén et al. A study on the state of practice in security situational awareness
WO2022046366A1 (fr) Assurance de privilège d'environnements de réseau informatique d'entreprise
Ranathunga et al. Towards standardising firewall reporting
WO2019113492A1 (fr) Détection et atténuation d'attaques par objet d'authentification falsifié au moyen d'une plateforme de cyberdécision avancée
US20230334478A1 (en) Detecting anomalous transactions within an application by privileged user accounts
US20240220304A1 (en) Cyber security system with enhanced cloud-based metrics
Strasburg A framework for cost-sensitive automated selection of intrusion response
Kaleem Cyber Security Framework for Real-time Malicious Network Traffic Detection and Prevention using SIEM and Deep Learning
FR3023040A1 (fr) Systeme de cyberdefence d'un systeme d'information, programme d'ordinateur et procede associes
WO2024145597A1 (fr) Système de cybersécurité à métriques en nuage améliorées
Busby et al. Deliverable 3.1-Methodology for Risk Assessment and

Legal Events

Date Code Title Description
CD Change of name or company name

Owner name: CASSIDIAN SAS, FR

Effective date: 20120329

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

ST Notification of lapse

Effective date: 20230305