Supercloud : remettre la sécurité des réseaux dans les mains des utilisateurs

Lundi 16 et mardi 17 février 2015 a eu lieu le kick off du projet européen Supercloud. Développé dans le cadre d’Horizon 2020, il a pour but de mettre au point une architecture de réseau pour créer un cloud of clouds. Télécom Bretagne et Télécom SudParis travaillent sur des politiques de sécurité adaptées à cet environnement dynamique qu’est le cloud. Hervé Debar dirige l’équipe de Télécom SudParis sur ce projet. Son objectif est de migrer ou d’inter-opérer des services entre plusieurs clouds pour plus de sécurité, mais aussi plus de transparence pour l’utilisateur.

« L’intérêt du cloud c’est la mutualisation. Le risque, c’est que les utilisateurs ne puissent pas obtenir le service qu’ils désirent exactement au moment où ils le voudraient ou alors dans la quantité qu’ils voudraient, » explique Hervé Debar, chercheur à Télécom SudParis. Car dans un cloud, chaque demande d’un utilisateur va avoir un impact sur les autres. « Il va falloir qu’on essaie de quantifier cet impact pour savoir s’il reste acceptable pour les autres utilisateurs ou pas. » Et surtout, faire en sorte que les paramètres de sécurité de chacun soient respectés.

Le kick-off du projet Supercloud le 1 février 2015 à Paris

Justement la sécurité des réseaux est un axe de recherche développé depuis plusieurs années à Télécom SudParis. Hervé Debar et son équipe étudient plus spécifiquement les réseaux nouvelle génération, les SDN (Software-defined networking), un paradigme qui a émergé dans les réseaux de cloud computing et qui permet la gestion dynamique des ressources réseaux selon la demande.

Centraliser les données des hôpitaux portugais

Dans le cadre du projet Supercloud, qui a démarré le premier février dernier pour trois ans, les chercheurs travaillent sur un cas spécifique du secteur de la santé : Max Data est un centre d’hébergement de données de santé pour les hôpitaux portugais, qui voudraient les centraliser. « Il y a beaucoup d’interventions dans un environnement de type cloud : fournisseurs de plateforme, utilisateurs, opérateurs… Mais ils ont des intérêts contradictoires. » Ainsi les hôpitaux ne veulent pas échanger de données entre eux et ne veulent pas que le fournisseur y ait accès, tandis que les fournisseurs d’applications pour traiter les données collectées ne veulent pas que quiconque puisse voir leurs algorithmes propriétaires. « C’est donc un jeu à trois parties où chacun a des besoins, des exigences et des contraintes. L’un des objectifs du projet Supercloud est d’offrir des fonctionnalités de négociation de sorte que les différents intervenants puissent se mettre d’accord tout en maîtrisant leur sécurité. »

Négocier les paramètres de sécurité

« On a tendance à définir les paramètres de sécurité de manière statique. Avec le cloud computing, on est dans un environnement très dynamique, il faut être capable de négocier ces paramètres de sécurité en faisant éventuellement des compromis, de manière à ce que l’offre et la demande puissent se rencontrer à un moment ou un autre. » En pratique, lorsque l’utilisateur choisit des paramètres de sécurité, il y a deux cas de figure : soit ils sont respectés, soit ils sont rejetés et on lui propose d’autres paramètres plus en accord avec les exigences des autres utilisateurs. Bien souvent, il y a un arbitrage à faire entre confidentialité et disponibilité : « Si on veut que les choses soient cachées, ça demande beaucoup de temps de calcul et de bande passante sur le réseau. Si on veut qu’elles soient disponibles, c’est plus facile si elles sont petites et ne consomment pas beaucoup de bande passante. » L’utilisateur d’un côté, le provider de services de l’autre, vont devoir dévoiler un certain nombre de leurs stratégies ou d’informations sensibles lors de cette négociation. Cela implique de savoir exactement ce que chacun laisse voir à ses partenaires et donc de définir une politique de sécurité.

« Rendre la sécurité plus visible et plus compréhensible pour les utilisateurs »

« Une politique de réseau, ce sont les règles de fonctionnement du système que celui-ci doit respecter pour que sa sécurité soit garantie. » Par exemple, un pare-feu qui gère la communication entre deux réseaux en filtrant ce qui peut passer au travers. Ou encore un service d’annuaire, qui contrôle les droits d’accès. Souvent ce sont des règles configurables, et dans le cas du cloud computing, elles doivent permettre ces arbitrages entre les différents paramètres de sécurité de chacun des utilisateurs.

Du point de vue du réseau, la politique de sécurité va définir quel traitement est autorisé, par qui et pour quelles données. Du point de vue du calcul, elle va devoir prendre en compte le fait que le client veut connaître ces paramètres de sécurité et éventuellement les modifier, et qu’il peut donc y avoir des dommages collatéraux sur les autres clients. « On va essayer, en fonction d’un certain nombre d’objectifs, de trouver une solution qui soit la meilleure possible et qui montre comment le compromis entre ces différents paramètres est respecté. Indirectement, cette négociation a aussi pour but de rendre la sécurité plus visible et plus compréhensible pour les utilisateurs et donc de la remettre dans les mains des utilisateurs. »

Une plateforme d’expérimentation pour tester des attaques agressives

Afin de formaliser ces politiques de sécurité, Hervé Debar et son équipe ont mis au point une technique pour modéliser les différents composants d’un système d’information. « On a déposé un brevet en fin d’année dernière qui vient d’être accepté, et on espère un transfert technologique. »

Pour tester l’impact des demandes des utilisateurs, Télécom SudParis met à disposition du projet Supercloud une plateforme d’expérimentation. « Souvent, les partenaires industriels ne veulent pas qu’on fasse des expérimentations susceptibles de détruire leurs données. Avec cette plateforme, on pourra expérimenter des attaques un peu plus agressives de manière à mieux qualifier les solutions qu’on propose. » Les chercheurs travailleront en particulier avec l’Université de Lisbonne et Orange, les deux partenaires qui sont le plus intéressés par le côté réseau.

Financé à hauteur de presque 5,5 M€, le projet Supercloud est piloté en tandem par Technikon, une PME autrichienne (coordinateur administratif et financier) et Orange (coordinateur technique). « On attend un TRL6 (technology readiness level 6 ou niveau de maturité technologique 6). Cela veut dire qu’au sortir du projet il faudrait qu’on puisse déployer le service dans un temps raisonnable. »

En savoir + sur le projet H2020 Supercloud
En savoir + sur Horizon 2020
Lire l’article sur le lancement de la plateforme d’expérimentation de Télécom SudParis

[box type= »shadow » align= »aligncenter » class= » » width= »95% »]

Hervé Debar, serial-coordinateur de projets européens

Hervé Debar n’en est pas à son premier projet européen, puisqu’il est aussi coordinateur de deux autres projets en cours. Le projet Necoma a pour but de collecter des données sur les attaques, et de proposer de nouvelles méthodes d’analyse de ces données, pour ensuite mettre en place des mécanismes de défense tant du côté grandes infrastructures de réseaux que du côté utilisateurs. Il marque une volonté politique de l’Europe de collaborer avec le Japon. Le projet a presque deux ans et la prochaine conférence plénière aura lieu en juillet 2015 à Paris. En savoir +

Le projet PANEPTOSEC s’intéresse à la sécurité des infrastructures industrielles. Son objectif est de proposer des méthodes pour détecter les attaques et mettre en place des mécanismes préventifs ou réactifs pour limiter leurs effets. Le cas d’usage concerne la distribution d’eau et d’électricité dans la ville de Rome. « Pour des raisons pratiques il y a des capteurs et des communications entre les réseaux d’eau propre et d’eau sale. Or les vannes sont commandées par des réseaux informatiques. Du coup, soit par malveillance soit même par accident, l’eau sale risque d’infecter l’eau propre. » Le projet est actuellement en phase de spécification et de développement. Les premières démonstrations sont prévues pour la fin de l’été 2016. En savoir +

Chercheurs : quelques conseils pour se lancer dans un projet européen

« C’est d’abord un travail de longue haleine donc il ne faut pas se décourager. On a des échecs. Moi j’ai commencé à travailler dans les projets européens en 1997, avant d’obtenir mon premier projet j’ai dû en déposer beaucoup. La deuxième chose c’est qu’il ne faut pas hésiter à faire de la coordination car c’est des choses qui sont quand même très structurées et qui sont intéressantes pour arriver à mieux monter ses projets. Il faut arriver à rentrer dans un écosystème européen qui est un écosystème extrêmement riche et qui est, de mon point de vue, au meilleur niveau. C’est aussi quelque part un cercle vertueux : on est aspiré vers le haut. Et surtout, c’est du travail d’équipe, ce n’est jamais une seule personne. Le fait d’être plusieurs aide beaucoup à réussir sur ces projets. »

[/box]