Lille`s Challenge Big Data

Transcription

Lille’s Challenge Big Data
Au cœur des Big Data
Challenge Big Data et CyberSécurité
REGLEMENT 2015
ORGANISE PAR :
AVEC LE SOUTIEN DE :
Challenge Big data et CyberSécurité
Lille’s Challenge
Big Data
EuraTechnologies, le CITC-EuraRFID et EuraSanté co-organisent les Challenges « Lille’s
Challenge Big Data », dans le cadre de l’action « cœur de filière numérique » du programme
d’investissements d’avenir du Ministère de l’économie, de l’industrie et du numérique.
Deux Opérations distinctes sont organisées dans ce cadre:
-
Le Challenge « Big Data et CyberSécurité »
Le Challenge « Big Data et Santé »
Pour les besoins des présentes seront ci-après dénommées par le terme «Sponsor », toute
Institution publique ou structure privée qui :


fournit un ou plusieurs jeux de données Big Data avec une problématique de CyberSécurité
associée
et/ou fournit une ou plusieurs Dotations aux Lauréats du Challenge
Le présent Challenge « Big Data et CyberSécurité », (ci-après « le Challenge ») est conjointement
organisé par :
EURATECHNOLOGIES dont le siège social est situé au 165 Avenue de Bretagne – Lille (59000)
Contact administratif : Knuth POSERN - Chargé de projets Data - Tél : 03.20.19.18.55 - Email :
[email protected]
Et
CITC-EuraRFID dont le siège social est situé au 165 Avenue de Bretagne – Lille (59000)
Contact administratif : Mohamed Salah BOUASSIDA - Ingénieur R&D - Tél : 03.20.19.18.52 - Email :
[email protected]
Avec le soutien des Sponsors suivants :
 Advens
 IBM
 Stormshield
ARTICLE 1
PRESENTATION DU CHALLENGE « BIG DATA ET CYBERSECURITE »
Le développement de l’Internet, du Cloud Computing, des objets connectés, a pour conséquence
l’augmentation des failles de sécurité. Concomitamment, les données qui permettent d’identifier,
de traiter, et d’anticiper ces failles augmentent de manière exponentielle. L’utilisation des outils Big
Data pour répondre à cet état de fait et continuer à assurer la sécurité des systèmes d’information
s’impose comme une évidence.
Cependant la mise en œuvre de telles solutions nécessite des investissements et des compétences
bien souvent hors de portée des PME et ETI ; il devient vital de proposer des solutions mutualisées
permettant aux entreprises d'accéder à des systèmes de protection et de surveillance performants.
Le Challenge a pour ambition de favoriser l’émergence de produits et / ou solutions innovantes
répondant à ces enjeux sur la base de jeux de données, réels.
2
ARTICLE 2
Lille’s Challenge
Big Data
CALENDRIER – PRINCIPALES ECHEANCES
20 janvier 2015
Annonce officielle de la tenue du Challenge au cours du FIC 2015
27 Février 2015
Lancement du Challenge et ouverture des inscriptions
15 avril 2015 à minuit
Date limite de dépôt des dossiers de candidature
30 avril 2015
Date d’annonce des Candidats présélectionnés
8 juin 2015 à minuit
Date limite de réception de la présentation complète du produit ou de la
solution proposée
11 et 12 juin 2015
Présentation devant le jury pour les projets sélectionnés
Fin Juin 2015
Délibération du jury
09 Juillet 2015
Cérémonie officielle de remise des prix au cours du forum Big DATA
ARTICLE 3
PARTICIPANTS – ELIGIBILITE
Le Challenge est ouvert aux Porteurs de projets, aux Startups et aux PME.
Pour les besoins des présentes les termes ci-après sont entendus comme :

Porteurs de projets : personnes physique souhaitant se réaliser à travers le développement dudit
projet et ainsi mettre en pratique son idée d’entreprise.

Start-up : Jeune entreprise, souvent innovante, promise à une croissance importante et rapide. La
start-up développe son offre (par des activités de recherche et de développement et/ou d'étude de
marché) ou recherche de premiers débouchés commerciaux (identification de prospects ou de
partenaires commerciaux).

PME : entreprise dont l’effectif est inférieur à 250 personnes et dont le chiffre d’affaires annuel
n'excède pas 50 millions d'euros ou le total de bilan n'excède pas 43 millions d'euros.
Peuvent participer au Challenge toutes les sociétés immatriculées en France ainsi que les Porteurs de projets
ayant leur domicile sur le territoire français.
Chaque candidat devra déposer un dossier unique de candidature. Chaque participant ne peut être représenté
que par un seul mandataire qui doit être habilité à déposer le dossier de candidature.
3
Lille’s Challenge
Big Data
NB : Outre la Dotation à laquelle chaque Candidat peut prétendre (dans les conditions du présent Règlement),
ce dernier demeure seul responsable, juridiquement et financièrement, de la concrétisation et de la
commercialisation finale du Projet
En participant au présent Challenge chaque Candidat se conforme également à la Règlementation
communautaire des Aides d’Etat.
Ne peuvent concourir : les personnes en poste chez EuraTechnologies, CITC-EuraRFID et EuraSanté, les
membres du jury et experts sollicités dans le cadre du présent Challenge ainsi que les membres de leur famille
(conjoint, ascendants, descendants et collatéraux au premier degré).
Aucune contrepartie financière, ni dépense sous quelque forme que ce soit, ne sera réclamée aux participants
du fait de leur participation. Toute demande de remboursement des frais de participation (connexions à
internet et frais postaux dans le cadre de l’inscription) doit être effectuée au plus tard quinze (15) jours après
la participation au Jeu.
Toute demande de remboursement de la participation au Jeu et des frais de participation au Jeu sera adressée
par courrier postal exclusivement, à l'adresse suivante : EuraTechnologies 165 avenue de Bretagne 59000
Lille.
En tout état de cause, il ne sera effectué qu'un seul remboursement par Participant (même nom, même
adresse) et pour toute la durée du Challenge (celui-ci étant limité à une participation par Candidat).
Les frais postaux engagés pour la demande de remboursement seront remboursés au tarif lent en vigueur sur
simple demande écrite figurant dans la demande de remboursement.
La demande de remboursement sera traitée en moyenne sous trois (3) mois, par virement bancaire.
Toute demande n'incluant pas l'ensemble des éléments visés ci-dessus, transmise au-delà de la date
mentionnée (cachet de la poste faisant foi), illisible, avec des coordonnées erronées ou ne respectant pas les
conditions ci-dessus, sera automatiquement rejetée et ne recevra pas de réponse.
ARTICLE 4
DESCRIPTION DES DOTATIONS
Catégorie
Création d’un système
d’apprentissage
séquentiel spécialisé
dans la détection
d’incidents de sécurité
Description de la dotation
2 jours homme par mois d’expertise et
d’accompagnement sécurité sur 2 ans, à concurrence de
60 000€ maximum.
un crédit de 10 000 $, soit environ 8800€ maximum
par mois pendant 12 mois, à valoir sur la
consommation de services Cloud fournis par SoftLayer
et IBM Bluemix.*
4
Lille’s Challenge
Big Data
-1 équipement SN300 avec 1 an de maintenance soit une
valeur de 1 470€
-5 machines virtuelles V50 avec 1 an de maintenance
soit une valeur de 2 925€
-10 journées de consulting, support de la R&D
Réputation des machines
Stormshield soit une valeur de 20 000€
internes
Soit une dotation totale de 24 395 euros
un crédit de 10 000 $ soit environ 8800€ maximum
par mois pendant 12 mois, à valoir sur la consommation
de services Cloud fournis par SoftLayer et IBM Bluemix.*
Tous les montants exprimés concernant les dotations s’entendent HORS TAXES.
* les conditions d’attribution de la dotation d’IBM sont les suivantes : est considérée comme éligible,
toute entreprise de - de 3 ans, dont le CA est inférieur à 1Million de dollars et non cliente du programme
Bluemix, Softlayer.
Pour connaître l’ensemble des dispositions prévues dans le cadre des programmes « Softlayer » et
« Bluemix », il est recommandé de consulter respectivement le site ibm.biz/cloudstartup et le site
ibm.biz/siteBluemix. IBM se réserve le droit d’attribuer les mêmes avantages à toute entreprise répondant
au challenge et non lauréat de ce challenge.
La combinaison de ces services Cloud, du réseau de compétences techniques – 43 IBM Innovations Centers
dans le monde – et de la mise en relation avec l'écosystème formé par IBM, ses partenaires et ses clients
constitue une proposition sans égale pour accompagner le développement de jeunes start-ups sur leur
marché national et à l'international.
Chaque Lauréat pourra prétendre à une bonification de sa Dotation dans les conditions ci-après exposées :

Un financement de l’Etat peut être attribué par décision du comité d’engagement « subventions et
avances remboursables » du FSN (Fonds national pour la société numérique).
Les dépenses éligibles du Projet sont susceptibles d’être soutenues au taux de 45% pour les petites
entreprises et 35% pour les entreprises de taille moyenne.
Les dépenses éligibles comportent :
 les frais de personnels affectés au projet ;
 des frais forfaitaires proportionnels aux frais de personnels.
Les travaux financés doivent être réalisés en France.
Ce financement fait alors l’objet d’une convention entre le lauréat et la BPI (Banque Publique
d'Investissement), agissant en son nom et pour le compte de l’Etat.
5
Lille’s Challenge
Big Data
Pour Information :
Le montant alloué par l’Etat aux lauréats est au maximum de 70k euros à répartir sur un maximum
de 3 Lauréats (d’autres Lauréats pouvant être financés par les Sponsors) sur la base d’une Annexe
Technique, d’une Annexe Financière et d’un état de dépenses à la fin de la réalisation du Projet
(seront pris en compte les frais de personnel, des frais forfaitaires proportionnels aux frais de
personnel, la location de locaux, les dépenses en équipements non-amortissables et les
consommables).
Chaque Lauréat devra transmettre aux organisateurs un exemplaire original et complet :
-

d’une attestation sur l’honneur et déclaration relative aux aides perçues dans les 3
dernières années entrant dans le cadre des aides d’état réglementées ;
de l’ensemble des éléments nécessaires à son conventionnement (notamment K Bis, pièce
d'identité du représentant légal, coordonnées d'un contact dans l'entreprise, statuts,
Annexe Technique et Annexe Financière du Programme).
Chaque Lauréat pourra également prétendre à la condition d’être implanté en région Nord-Pas-deCalais ou de s’y implanter durablement :
 un accès à des moyens informatiques mutualisés adaptés aux expérimentations Big Data
(dispositif TERRIL mis en place au sein d’EuraTechnologies)
 un suivi du Projet par un chargé d’affaire
 un hébergement éventuel à EuraTechnologies pour les start-ups selon des modalités à
définir
NB : le présent Règlement expose ci-après une série de critères de sélections de sorte que le Jury se
réserve la possibilité de n’attribuer aucune Dotation si lesdits critères n’étaient pas respectés.
ARTICLE 5 THEMES
Article 5-1
système à apprentissage séquentiel
Le but de ce challenge est de concevoir un système à apprentissage séquentiel agissant sur un flux
d’informations divers (logs serveurs, firewall, proxy, applications, capteurs physiques…) reçues en temps
réel.
Vous trouverez dans l’annexe 1 la description complète du thème à traiter.
Article 5-2
Réputation des machines internes
Le challenge « Réputation des machines internes » s’inscrit dans l’approche Stormshield en s’appuyant sur
les événements transmis par les systèmes de protections déployés chez ses clients. Les pares feux de nouvelle
génération protègent les accès réseaux ainsi que les flux transitant au sein des entreprises. Les systèmes
déployés sur les postes de travail interceptent les menaces 0-day les plus élaborées et examinent les autres
vecteurs d’attaque (clé USB, négligences ou malveillances internes).
Le challenge « Réputation des machines internes » s’appuie sur les indicateurs de réputation d’adresse IP
internes et sur le calcul des niveaux de protection pour mesurer la mise en place de contre-mesures. Les
indicateurs sont calculés par les solutions de sécurité (Stormshield Network Security et Stormshield Endpoint
Security). Pour les équipements réseaux, il s’agit des adresses IP connectées et protégées par la solution. Pour
les solutions de protection de postes de travail et de serveurs, il s’agit de l’indicateur de la machine elle-même.
Le niveau de protection d’une solution de sécurité peut être calculé à partir des journaux d’événements qu’il
transmet. En effet, à partir du nombre d’information présent dans un log on peut en déduire les protections
qui ont été mises en œuvre.
Vous trouverez dans l’annexe 2 la description complète du thème à traiter.
6
ARTICLE 6
MODALITES DE SELECTION
Article 6-1
Sélection
Lille’s Challenge
Big Data
Les dossiers seront présélectionnés après étude de la faisabilité économique par une commission technique.
Les Candidats seront informés de leur pré-sélection avant le 31 mars 2015.
Entre le 30 avril et le 8 juin 2015, les candidats présélectionnés, devront faire parvenir au jury une
présentation complète de leur Projet :

par courrier électronique à l’adresse [email protected]

ou par courrier : SPL EURATECHNOLOGIES - Knuth POSERN - Challenge Big Data et CyberSécurité - 165
avenue de Bretagne – 59000 LILLE.
NB : Les décisions du jury sont souveraines de sorte qu’elles n'auront pas à être motivées et ne pourront faire
l'objet d'aucune réclamation.
Article 6-2 Prérequis
Chaque Candidat certifie que le contenu de son produit ou de sa solution est entièrement original, innovant
et qu’aucune commercialisation n’a encore été réalisée où que ce soit dans le monde.
Les produits et solutions, sont sélectionnables à la double condition de cibler l’un des jeux de données fournis
par les Sponsors, et de correspondre aux problématiques que les Organisateurs ont attaché à chacun de ces
jeux de données (Cf. article 5 du règlement ci-dessus).
Les projets attendus se traduiront par la mise sur le marché d’un produit ou / et service à horizon 12 /
24 mois.
Article 6-3 : Critères de sélection








Adéquation aux objectifs du Challenge ;
Mise en valeur spécifique des aspects relatifs au Big Data dans le Projet
Éléments permettant d'apprécier la performance potentielle des technologies proposées
Caractère original et novateur du Projet et/ou de la technologie
Faisabilité économique et viabilité du Projet
Qualité de la présentation de chaque projet, pertinence de l'approche tant sur le plan commercial
que financier ou humain
Design des produits et solutions présentés
Qualité de l'équipe dédiée.
ARTICLE 7
COMPOSITION DU JURY ET DE LA COMMISSION TECHNIQUE
Composition de la commission technique :
La commission technique sera composée sur l'initiative d’EURATECHNOLOGIES. Les membres pourront
entre autres être choisis parmi les membres des Partenaires associés au Challenge. Elle aura pour objet
l'étude de faisabilité et de viabilité économique du Projet, sans que tout ou partie de ses membres puissent
être tenus responsables des éventuels échecs de l'entreprise. La commission technique est chargée de la présélection des dossiers et de la sélection des lauréats.
7
Lille’s Challenge
Big Data
Composition du Jury :
Le jury sera composé d’un seul et unique représentant des entités ci-dessous :








EuraTechnologies
CITC-EuraRFID
DIRECCTE
BPI-France
NFID
Advens
Stormshield
IBM
EuraTechnologies se réserve le droit de faire appel à tout expert qu’elle jugera nécessaire et cela à titre
consultatif.
ARTICLE 8
RETRAIT DES DOCUMENTS
Les Candidats pourront télécharger la fiche d’engagement ainsi que le règlement du Challenge sur le site
internet à l'adresse suivante : challenges.euratechnologies.com
ARTICLE 9
COMPOSITION ET DEPOTS DES DOSSIERS
Un dossier de pré-sélection sera envoyé par chaque candidat avant le 15 avril 2015 minuit, par courrier
électronique à l’adresse mail [email protected] et devra être constitué :
 d’une fiche d’engagement,
 et d’une description de 3 pages maximum de la solution et / ou du produit proposé, mettant en avant la
façon avec laquelle elle répond au Challenge ciblé.
Les candidats dont les projets seront pré-sélectionnés, devront faire parvenir leur dossier complet de
présentation au plus tard le 08 juin 2015 minuit, par courrier électronique à l’adresse mail
[email protected] et devra se composer :
 d’une fiche d’engagement,
 et d’un Business Plan simplifié,
 et de tout document présentant l'entreprise ou le produit / la solution (maquette, prototype, etc.),
 et de tout support informatique de présentation ou de démonstration
 et d'une manière générale de toute autre pièce que le candidat jugera opportun de communiquer ou que
le Jury ou les Organisateurs pourront souhaiter.
NB : Tout dossier incomplet à la date de clôture sera refusé.
ARTICLE 10
REMISE DES PRIX
Les Lauréats recevront leur prix le 9 juillet 2015 lors du forum Big Data organisé par EuraTechnologies, après
la notification de la décision du Jury.
Le prix ne pourra être attribué qu’à l’entreprise ou le Porteur de projet dont le nom figure dans le dossier de
candidature.
8
ARTICLE 11
Lille’s Challenge
Big Data
DEPOT ET CONSULTATION DU REGLEMENT
Le Règlement complet de ce Challenge est déposé au sein de l’étude de Maitre Frédéric DUSSART huissier de
justice sis à Lille (59000) - 63 avenue du Peuple Belge - BP 90067 (Tél : 03 20 12 31 31).
Toute modification de ce dernier par voix d’avenant sera diffusée et déposée selon une procédure identique.
Ce règlement est disponible sur le site Challenges.euratechnologies.com pendant toute la durée de validité du
Challenge. Il sera adressé à titre gratuit à toute personne qui en fera la demande à l’adresse suivante
EuraTechnologies SPL - 165 Avenue de Bretagne - Lille (59000).
ARTICLE 12
CANDIDATS
La participation au Challenge implique l’acceptation pleine et entière et sans restriction ni réserve du présent
règlement ainsi qu’un engagement sur l’honneur quant à la véracité des informations transmises.
Sera considéré comme nulle toute demande de participation ou participation du fait de :




tout envoi adressé autrement que par le formulaire en ligne, adressé après la date limite ou émanant
d’une entité n’ayant pas qualité pour participer ;
tout envoi incomplet ou réalisé de manière contrevenante au présent Règlement ;
toute attitude contraire aux lois, règlements et règles déontologiques applicables ;
tout acte de contrefaçon ou de concurrence déloyale associé au dossier.
Les Organisateurs se réservent le droit de poursuivre toute personne qui tenterait de frauder ou de nuire au
bon déroulement du Challenge. Ainsi dans le cas de fraudes manifestes sous quelque forme que ce soit les
Organisateurs peuvent annuler le Challenge.
Les Organisateurs se réservent en cas de force majeure, le droit de proroger, d'écourter, de modifier ou
d'annuler la présente opération. Leur responsabilité ne saurait être engagée de ce fait.
Les lauréats s'engagent à :


participer aux points réguliers mis en place dans le cadre du bon déroulement du projet
rendre compte des travaux réalisés et de l'état d'avancement à mi-parcours et en fin de projet.
ARTICLE 13
CONDITIONS RELATIVES A LA PROPRIETE INTELLECTUELLE ET A LA CONFIDENTIALITE
Article 13-1 : Confidentialité
Dans le cadre du Présent Challenge les Candidats peuvent être amenés à divulguer des informations
confidentielles.
Les Organisateurs et les membres du Jury s’engagent d’ores et déjà à traiter ces informations avec la plus
grande précaution, et à ne pas les divulguer sans autorisation préalable du Candidat à la condition que lesdites
informations aient été préalablement identifiées comme « Confidentielles » par le Candidat.
Néanmoins, dans le cadre de la communication associée au Challenge, les Organisateurs sont autorisés :
 à communiquer à la presse et à publier sur leur Site, la dénomination sociale, le nom du dossier, le nom
des Candidats ;
 à rendre publiques les caractéristiques essentielles et non confidentielles des Projets présentés, sans
contrepartie de quelque nature que ce soit.
Article 13-2 : Propriété intellectuelle des résultats obtenus dans le cadre des projets
9
Lille’s Challenge
Big Data
Les travaux réalisés par les Lauréats dans le cadre d’un projet demeurent la propriété du Lauréat.
Les Sponsors quant à eux restent propriétaires des Connaissances Antérieures (notamment des jeux de
données et leurs composantes) fournis dans le cadre du Challenge. Ces Connaissances Antérieures seront
listées par chacun d’entre eux.
La cession ou la concession aux Sponsors des droits de propriétés détenus par les Lauréats sur les éléments
de leur projet se fera dans le cadre d’un contrat négocié entre les Parties à des conditions de marché. Lesdits
droits de propriété nécessaires ne pourront en aucun cas être cédés avant la fin du Challenge.
En tout état de cause, si l’Etat est amené consécutivement à la tenue du présent Challenge à apporter une aide
financière et/ou matérielle à un Lauréat, l’encadrement communautaire des aides d’Etat s’appliquera de
droit.
Article 13.3 Propriété des données et protection de la vie privée
Les données restent la propriété de leur communiquant. Les Lauréats s’engagent en participant à signer un
accord de non diffusion desdites données et de protection de la vie privée, dans le cas où les données ne
seraient pas anonymes, ou comporteraient des informations personnelles, y compris en référence indirecte.
Article 13.4 Droit à l’image – données personnelles
Chaque Candidat autorise, à titre gratuit, les Organisateurs, directement ou indirectement, à enregistrer et à
exploiter son image sur tout support (photos, films, audio,) ainsi que ses présentations et soutenances du
dossier.
A cet effet les Candidats autorisent les Organisateurs, pendant 2 (deux) ans à compter du dépôt du dossier, à
représenter, à reproduire, à diffuser, à exploiter, l’image du Candidat (telle que précisée ci-dessus), en tout
ou partie, directement ou indirectement, par l’intermédiaire des Organisateurs ou tout tiers autorisé par eux,
dans le monde entier, par voie de presse, écrite, radio, télévisuelle, informatique, sur tous supports et tous
formats, et plus généralement par tous modes et procédés techniques connus ou à venir, et quelques soient
les secteurs de diffusion, notamment dans le cadre des communications associées à l’organisation, de
l’information et la promotion du Challenge.Les Lauréats s’engagent d’ores et déjà à participer à la remise du
prix et cèdent leur droits à l’image associés dans les conditions du présent article. Ils s’engagent également à
faire apparaitre la mention « Lille’s Challenge Big Data » dans les supports utilisés pour la commercialisation
des produits ou solutions qui se sont vus attribués un prix.
ARTICLE 14 LOI APPLICABLE ET JURIDICTION
Le présent règlement est soumis à la loi française. Toute difficulté qui viendrait à naître de l‘application ou de
l’interprétation du présent Règlement ou qui ne serait pas prévue par celui-ci sera tranchée par les
Organisateurs en premier et dernier ressort. Tout litige né à l’occasion du présent Challenge et qui ne pourra
être réglé à l’amiable sera soumis aux tribunaux compétents de Lille.
ARTICLE 15
CONTACTS ORGANISATION
SPL EuraTechnologies
M. Knuth POSERN
Contact presse : Mlle Delphine FOURMY
165 avenue de Bretagne
59000 LILLE
CITC-EuraRFID
M. Mohamed Salah BOUASSIDA
Contact presse : Mme Alice HUYS-MOCHEZ
165 avenue de Bretagne
59000 LILLE
10
Lille’s Challenge
Big Data
ANNEXES
11
Lille’s Challenge
Big Data
ANNEXE 1
Thème 1
Création d’un système d’apprentissage séquentiel spécialisé
dans la détection d’incidents de sécurité
12
Lille’s Challenge
Big Data
Advens – Challenge Big-Data & Cyber Sécurité
Intitulé : Création d’un système d’apprentissage séquentiel spécialisé dans la détection
d’incidents de sécurité
Dotation : Journées d’expertise et d’accompagnement sécurité (2JH par mois sur 2 ans, jusque
60,000€).
Description du challenge :
Les technologies SIEM (Security Information and Event Management) sont devenues
indispensables pour analyser, le plus souvent à postériori, les traces des équipements IT
(serveurs, applications, actifs réseaux…). Les SIEM sont souvent utilisés pour collecter,
centraliser et rechercher des évènements passés. Ces outils proposent également des
fonctionnalités de reporting et d’alerting.
L’avènement des technologies big-data a permet de démultiplier les capacités des SIEM
en permettant la recherche d’évènements sur des périodes de temps plus longues. Il est ainsi
fréquent de voir des technologies comme Hadoop par exemple, en complément des SIEM «
historiques ». Le fait d’avoir des données sur des périodes de temps plus longues permet
d’améliorer l’efficacité des détections de comportements suspects mais ne règle pas la
problématique de complexité et de génération d’indicateurs et d’alertes pertinentes, ce qui reste
un enjeu majeur pour les SIEM. Par ailleurs, l’enjeu sécuritaire n’est pas uniquement de collecter
davantage d’informations, mais plutôt de croiser différentes sources de données et d’en extraire
les informations pertinentes.
Les solutions SIEM sont également coûteuses en termes d’acquisition et d’exploitation.
Aussi, dans un monde où les objets deviennent connectés et commencent à générer des flux de
données de plus en plus importants, le fonctionnement des SIEM actuels est à revoir: Modèles de
licence et coûts inadaptés aux volumes de données actuels, outils trop techniques – qui
n’intègrent pas la dimension humaine et l’apport d’expertise indispensable pour un alerting et un
reporting pertinents.
Le but de ce challenge est de concevoir un système à apprentissage séquentiel agissant
sur un flux d’informations diverses (logs serveurs, firewall, proxy, applications, capteurs
physiques…) reçues en temps réel. Le principe de l’apprentissage séquentiel est le suivant :
Hypothèses :
Le système doit être totalement indépendant du type de données o
Ex
: Firewall, Proxy, Serveur, Application, base de données, capteurs divers, …
o Nécessite un modèle de données le plus universel possible
o Lors de la définition d’une source, le système questionne pour qualifier le type
de source et valider / définir les types de menaces redoutées. Les scénarios de
menace sont mis aux points par des experts sécurité et le système doit intégrer
un langage permettant de les modéliser
o Cette phase de définition permet de définir les périodes d’apprentissage et
d’échantillonnage temporel (on ne traitera pas de la même façon un flux
continu de logs firewall et un flux périodique de remontée de température)
-
Chaque source envoie sont flux de données de manière synchrone ou
asynchrone o
Ex : Via SYSLOG
13
Lille’s Challenge
Big Data
Configuration initiale :
Un ensemble de « règles métiers » est défini o « Il ne doit pas y avoir de
connexions vers un réseau de BOTNET connu »
o « Un poste utilisateur ne doit pas contacter Internet sans passer par le proxy de
l’entreprise » o
« Un compte utilisateur ne doit pas être utilisé dans 2
sessions simultanées »
o « Un compte utilisateur ne doit pas être utilisé dans plus de 5 tentatives de
connexions en moins d’une minute »
o …
o Les règles sont définies par des experts métiers, dans un langage le plus naturel
possible, et ne sont pas nécessairement incluses par défaut dans le système
-
En complément des règles métiers, le système passe par une phase
d’apprentissage initiale o Sur une période de temps caractéristique propre
à chaque type de donnée
o Le système crée un modèle statistique représentatif de cette activité pour
chaque période de temps
Description du fonctionnement attendu en mode nominal:
Le système normalise les données reçues en continue et les stocke dans le
big-data
-
Le système, en temps réel, par échantillonnage sur des périodes de temps
va : o
Analyser les données reçues
o Comparer les données reçues avec le modèle statistique sur la période
correspondante o Valider le respect du jeu de règles configurées et alerter le
cas échéant
-
La détection de non-conformité par rapport à ce qui était attendu (ex :
variation anormale de volume) ou le non-respect d’une règle entraîne
l’émission d’une alerte
o Cette alerte doit être qualifiée par un opérateur expert qui peut décider
 De la valider : On entre dans un processus de remédiation visant à
corriger l’anomalie
 De l’invalider : C’est un faux-positif – L’expert peut décider de
l’ignorer ou de revoir le jeu de règles initiales si nécessaire.
-
Le système doit intégrer, en complément des règles définies, des
algorithmes statistiques « intelligents » pour remonter des anomalies. Le
système peut, par exemple, classifier les données et implémenter un
système de scoring de la menace. En fonction des seuils définis, il alertera
de tout événement, ou succession d’événements dépassant le seuil
configuré.
o Ex : variation inhabituelle du trafic UDP sur le port 53 + levée d’une alerte antispoofing sur un commutateur réseau = Probabilité d’attaque par réflexion DNS
-
La détection de non-conformité doit pouvoir se faire également sur la base
de variation multiples (ex : pas de variation massive de volume, mais des
variations plus minimes de plusieurs éléments caractéristiques qui doivent
être corrélés de facto.
14
-
Lille’s Challenge
Big Data
La solution doit être capable de suivre dans les temps les alertes remontées
pendant un certain temps pour garder des comportements suspects sous
surveillance, en alimentant son moteur par ces éléments pour enrichir les
analyses.
Problématiques techniques à lever :
Les algorithmes permettant de gérer ces problématiques existent mais nécessitent des
compétences pointues en mathématiques. La solution doit donc rendre accessible ces
algorithmes au travers d’un modèle de données, d’un modèle de description de règles et d’un
processus de gestion des incidents simples.
La solution doit être totalement indépendante du type de données gérées. Le modèle de données
et le système de gestion des règles doivent être utilisables pour tout type de données :
Surveillance des flux d’un firewall, surveillance de l’activité d’accès aux fichiers d’un partage
réseau, suivi de la consommation électrique dans un bâtiment…
La solution doit être scalable et distribuée. C’est un enjeu majeur pour la détection d’anomalies
en temps réel sur des volumes de données pouvant atteindre plusieurs To par jour.
La solution doit permettre un apprentissage automatique et une adaptation permanente
automatique des alertes pour refléter la réalité.
15
Lille’s Challenge
Big Data
ANNEXE 2
Thème 2
16
Lille’s Challenge
Big Data
Introduction
Les attaques ciblées avancées qu’elles soient persistantes ou pas sont toujours plus élaborées et
deviennent de plus en plus difficiles à détecter. Ces attaques sont conçues pour contourner les systèmes
de protection traditionnels et la combinaison de différentes solutions de sécurité sous forme de silo n’est
d’ailleurs pas suffisamment efficace. Cependant, ces attaques laissent un certain nombre de traces que
l’on peut qualifier de signaux faibles comme par exemple l’accès à un site web non catégorisé.
En associant ces signaux faibles entre eux et en les corrélant avec une cartographie des vulnérabilités, on
peut identifier la menace qui révèle ainsi son véritable caractère critique. Il est donc possible de combattre
ces attaques multi niveaux en associant et faisant interagir plusieurs couches de protection.
Avec une approche basée sur l’intégration des moteurs de sécurité et une véritable interaction entre les
différentes solutions de défense, les différents moyens de protection collaborent entre eux en échangeant
des données et analysent un comportement en fonction des autres événements détectés. La corrélation
s’effectue en temps réel et les différents signaux faibles sont pris en compte dans leur globalité. Le niveau
de protection se trouve ainsi renforcé et la politique de sécurité peut s’adapter de façon dynamique. Les
comportements anormaux peuvent alors être bloqués de manière proactive. Cette approche constitue le
fondement de la vision de Stormshield pour répondre aux nouvelles menaces.
Description générale
Le challenge « Réputation des machines internes » s’inscrit dans l’approche Stormshield en s’appuyant
sur les événements transmis par les systèmes de protections déployés chez ses clients. Les pares feux
de nouvelle génération protègent les accès réseaux ainsi que les flux transitant au sein des entreprises.
Les systèmes déployés sur les postes de travail interceptent les menaces 0-day les plus élaborées et
examinent les autres vecteurs d’attaque (clé USB, négligences ou malveillances internes).
Le challenge « Réputation des machines internes » s’appuie sur les indicateurs de réputation d’adresse
IP internes et sur le calcul des niveaux de protection pour mesurer la mise en place de contre-mesures.
Les indicateurs sont calculés par les solutions de sécurité (Stormshield Network Security et Stormshield
Endpoint Security). Pour les équipements réseaux, il s’agit des adresses IP connectées et protégées par
la solution. Pour les solutions de protection de postes de travail et de serveurs, il s’agit de l’indicateur de
la machine elle-même. Le niveau de protection d’une solution de sécurité peut être calculé à partir des
journaux d’événements qu’il transmet. En effet, à partir du nombre d’information présent dans un log on
peut en déduire les protections qui ont été mises en œuvre.
Description des indicateurs de réputation
Les indicateurs de réputation d’une machine sont calcul rcateurs de réputationemps d sont calcul
rcateurs de réputationqui sont classifil rcateurtégories. Les indicateurs sont remontés selon la
période de temps définie alors que les événements bruts sont transmis plus régulièrement.
17
Lille’s Challenge
Big Data
Un indicateur est constitut de réputationempcateurs L’adresse IP de la machine
- L’identifiant de la machine qui permet de distinguer 2 machines ayant la même adresse IP
-
Le score global de la machine
-
Un ensemble de catégories ayant chacune un score de compromission qui participe selon
leur poids au score global
-
Le profil de calcul d’indicateur attaché
-
L’heure de début du calcul de l’indicateur
La liste des catégories n’est pas exhaustive. Pour les solutions Stormshield Network Security on
peut retenir : Antivirus, IPS, connexion, URL, vulnérabilités, Endpoint, …. Pour les solutions
Stormshield Endpoint Security nous avons par exemple : Dépassement mémoire, keylogger, USB
invalide, IPS, … . On peut noter que les solutions de protection réseaux remontent l’indicateur global
des solutions Endpoint qui y sont connectées.
Le poids de chaque catégorie dans le calcul du score global est basé sur des profils. Ces profils qui
sont configurés sur les solutions elles-mêmes, peuvent être associés indépendamment aux
machines à mesurer en fonction de leur type ou de leur usage. Les équipements de protection de
sécurité offriront une interface permettant de connaître le poids de chaque catégorie en fonction
du profil.
Description des événements bruts
Les ription des événements brutsbase au calcul des indicateurs selon des algorithmes qui sont
propres aux solutions de ss profils qui sont cmontés sur un laps de temps relativement court.
Un ription des es indicateurs selon des algorithmes qui sont propres aux solutions de ss prLfils
qui sont cmontés sur L’identifiant de la machine qui permet de distinguer 2 machines ayant la
même adresse IP
- La catégorie auquel il appartient
-
Une chaine de caractère constituant le log et qui se présente sous la forme d’une suite
d’éléments de type attribut=valeur
Certains attributs représentatifs seront tout particulièrement gérés car ils pourront être
corrélés avec les événements liés aux niveaux de protections.
Bien que les attributs aient des identifiants difficulièrement gérés car ils pourront être corrélés avec
les événements liés aux niveaux de protections. t.t être associés indépendamment aux machines
tection afin de déterminer la propagation d’une contre-mesure.
18
Lille’s Challenge
Big Data
Description des niveaux de protection
Les solutions de sécurité sont composées de plusieurs modules différents (exemple antivirus, IPS,
filtrage URL). L’utilisation de ces modules nécessite tout d’abord leur activation par licence puis
leur mise en œuvre dans la politique de sécurité.
L’activation d’un module peut être vérifiée en envoyant une commande sur l’équipement afin de
récupérer les informations de licence. Les données retournées au format texte permettent de :
-
Connaître l’état d’activation d’un module (une ligne d’état par module)
-
Connaître la date d’expiration d’un module (une ligne de date par module)
Ces informations pourront être renforcées par la présence d’attributs spécifiques dans les logs.
Ces événements de sécurité, transmis par syslog, sont classifiés par type d’événements et sont
constitués d’un ensemble d’éléments de type attribut=valeur (format WELF). La présence de
certains attributs révèle la mise en œuvre d’un module de protection.
Suivi des contre-mesures
Les événements de sécurité transmis par syslog contiennent également la valeur de l’empreinte
d’une menace qui a été bloquée. La valeur de l’empreinte sera associée à un attribut particulier.
L’empreinte faisant également partie des indicateurs bruts, la solution devra être capable de
corréler les 2 informations.
Fonctionnement attendu
Gestion des indicateurs de réputation
La solution rndicateurs de réputationleur de lon rndicateurs de réputationn attribut particulier.
Récupérer périodiquement les événements remontant les indicateurs de réputation
- Stocker les indicateurs de réputation. Dans le cas où un indicateur de machine est remonté
par les solutions Stormshield Network Security et Stormshield Endpoint Security, il faudra
stocker les 2 indicateurs.
-
Afficher le score des sous catégories d’une machine. Pour l’indicateur Endpoint remontée
par une solution Stormshield Network Security, il faudra remonter les catégories
remontées par la solution Stormshield Endpoint Security.
-
Pour une machine donnée, afficher les différentes valeurs collectées afin de les visualiser
sur un graphe. Le graphe devra pouvoir être interrogé afin de montrer pour chaque point
le score des sous catégories.
Gestion des niveaux de protection
La solution riveaux de protectione du challenge eaux de protectionachinesallenge eaux de
protectiosaisir des informations permettant d’identifier une solution de sécurité.
- Requêter régulièrement les solutions de sécurité pour récupérer les informations sur les
modules activés
-
Calculer les modules activés sur la solution qui émet le log
-
Traiter les événements de sécurité en temps réel
-
Extraire les empreintes liées aux menaces
-
Pondérer le niveau de protection sur la présence ou non de certains attributs
-
Afficher pour chaque solution de sécurité le niveau de protection. Cet affichage peut
s’accompagner de graphe permettant de mesurer le pourcentage d’activation d’un module.
-
Emettre des alertes lorsque le niveau de protection d’une solution de sécurité est modifié.
19
Lille’s Challenge
Big Data
Corrélation d’événements
A partir des indicateurs bruts reveau de protection d’une solution de sécurité est modifié.ompagner
de graphe permettant de mesurer le pourcentage d’activation terne chaque type d’événements
- Afficher tous les indicateurs bruts qui sont liés à un indicateur de réputation ou une de ses
catégories
-
Afficher un graphe temporel des événements bruts associés à une machine interne.
-
Corréler les empreintes fournies dans les indicateurs avec celles détectées ou bloquées
par les solutions de sécurité
-
Afficher la propagation d’une contre mesure à partir des données de corrélation sur les
empreintes des menaces.
Actions de remédiation
Les informations sur les indicateurs de réputation qui sont affichées pourront être utilisées par
l’administrateur afin d’agir sur la politique de sécurité. Ces actions seront basées sur un ensemble
de commandes de gestion prédéfinies. A titre d’exemple, on peut citer « Pousser une politique de
filtrage réseau » ou « Activer une politique Endpoint particulière ».La remédiation consiste donc à
choisir une commande ou en ensemble de commande en fonction du score de réputation d’une
machine.
La solution réalisée dans le cadre du challenge « Réputation des machines » devra donc permettre
à l’administrateur de choisir une action de remédiation. Une fois que le choix est effectué, la
solution lancera l’exécution de la ou des commandes choisies.
Simulation d’événements
La mise en place d’une plateforme de collecte d’indicateurs de réputation et de corrélation avec
des événements de sécurité requiert un juste choix de dimensionnement. Les clients n’étant pas
prêt à transmettre leurs événements vers une solution en cours de développement, il conviendra
de fournir un générateur d’événements.
Ce générateur d’événements permettra de fournir un grand nombre d’indicateurs de réputation et
d’événements de sécurité conformes à un projet Big Data. Ce générateur servira pour effectuer
des tests de charge de la solution réalisés dans la cadre du challenge « Réputation des machines
internes ».
20

Lille`s Challenge Big Data

Transcription

Documents pareils

The Big Challenge arrive à grand pas

Retour page d`Accueil Pages suivantes

Collège Martin Luther King 77 Avenue du collège

Amène ton copain !

Challenge Féminin à 15h00 Challenge Masculin à 17h00 Coupe

ECOLE DE PILOTAGE AU MINI AUTO CLUB DE CHARMES/RHONE

Les Foulées du Lac Kir Dijon

THE BIG CHALLENGE resultats - Lycée de Font

fichiers/Bulletin concours photo

THE BIG CHALLENGE