site de rencontre gratuit woozgo CyPRES, la sonde de détection d’intrusion pour les systèmes industriels.

Vos interrogations

  • LA SONDE EST-ELLE ACTIVE OU PASSIVE ?

La connexion au réseau à surveiller s’effectue soit par un port mirroring de switchs,  soit au moyen d’un TAP qui copie le trafic et l’envoie vers CyPRES. Dans les deux cas, le trafic vers la sonde est à sens unique et la sonde n’envoie aucune requête ni aucun message vers le switch ou le TPA. Elle est donc totalement passive.

  • QUELS SONT LES BÉNÉFICES D’UNE SONDE DE DÉTECTION POUR UN SYSTÈME INDUSTRIEL ?

Les protections de type pare-feu et EDR sont aux extrémités du système, de manière périmétrique, mais n’ont pas accès au trafic réellement échangé entre les machines. Seules les sondes peuvent faire une analyse interne au système à protéger. Cela permet de détecter des attaques qui auraient contourné les autres mesures de sécurité. 

Egalement, une sonde est une aide précieuse pour le fonctionnement du réseau, qui n’est pas toujours bien configuré d’un point de vue fonctionnel (tables de routage, DNS, redondances, services …..).

  • PEUT-ELLE PERTURBER LE FONCTIONNEMENT D’UN SYSTÈME INDUSTRIEL ?

Par construction, une sonde se raccorde en écoute passive sur le réseau. La partie « collecteur » est par ailleurs développée spécifiquement pour ne pas pouvoir émettre, même par erreur ou par attaque. La seule perturbation potentielle est liée à l’action d’administration sur les switchs du système pour configurer le port mirroring, ou bien l’installation de TAP. Les réseaux sont généralement redondants ce qui fait que même en cas d’erreur de manipulation, le trafic fonctionnel est préservé. 

  • LA SONDE CYPRES EST-ELLE CONFORME AUX NORMES RÉGLEMENTAIRES ?

Il n’existe pas de norme réglementaire sur les sondes. Les qualifications ANSSI par exemple se prononcent par rapport à une cible. Actuellement la cible des sondes pour systèmes industriels n’est pas définie. 

Il existe un document ANSSI PA-084 « Doctrine de détection pour les systèmes industriels »  sur les modes de détection et la posture de cybersécurité que la sonde CyPRES respecte.  

  • COMMENT LA SONDE DÉTECTE LES INTRUSIONS EN TEMPS RÉEL ?

CyPRES est une sonde comportementale qui caractérise non pas les attaques, mais le système lorsque son fonctionnement est sain. De cette manière, CyPRES détecte immédiatement les écarts de comportement qui sont provoqués par une attaque. 

  • QUELLE EST LA VALEUR AJOUTÉE DE CYPRES ?

CyPRES est une sonde comportementale qui se base sur la dynamique des échanges entre les machines, et les caractérise au moyen de méta-données sur lesquelles un moteur de règle permet d’ajuster les paramètres de détection. Elles est unique dans cette approche (et deux brevets ont été déposés sur cette innovation) qui permet entre autre choses de détecter des attaques exploitant une faille 0-jour.  

  • AVEC QUEL TYPE DE STRUCTURE LA SONDE CYPRES EST-ELLE COMPATIBLE ?

CyPRES est compatible de tout système industriel utilisant les couches TCP / IP (ou UDP / IP). Pour les systèmes de très grande taille, Il a été fait le choix de plusieurs sondes plutôt qu’une seule, la vision globale étant alors déléguée au SIEM. Le SIEM ajoutant l’analyse de la menace et les enregistrements des autres mesures de sécurité (pare-feux, authentification, ….) cela permet à CyPRES de rester proche du système protégé, permettant une levée de doute par les exploitants. 

  • FAUT-IL UN EXPERT EN INTERNE POUR ADMINISTRER ET GÉRER LA SONDE ?

Pour l’exploitation, la sonde produit des enregistrements et leur analyse sur une IHM au contenu riche. Les enregistrements peuvent être envoyés vers un SIEM

Pour l’administration, il est en effet intéressant de gérer le système de règles pour placer le curseur de la détection au bon niveau, afin de détecter les évènements les plus intéressants. Cela peut évoluer dans la vie d’un système. 

Cybelius propose une assistance à l’administration et l’exploitation de CyPRES à distance, ce qui permet à un client n’ayant pas de compétence interne d’utiliser ce produit. 

Télécharger la fiche produit