Logo de la unión europea.
Logo del ministerio de agricultura, pesca y alimentación
Logo del plan de recuperación, transformación y resilencia
AKIS logo
Icono contacto
Icono buscador

Projet H2020 CYRENE : Certification de la sécurité et de la résilience des services de la chaîne d'approvisionnement

  • Taper Projet
  • État Rempli
  • Exécution 2020 -2023
  • Budget alloué 4.992.750,00 €
  • Portée Europeo
  • Principale source de financement H2020
  • Site Web du projet Proyecto CYRENE
Description

La gestion des activités de la chaîne d’approvisionnement (SC) devient de plus en plus complexe. L’une des raisons est l’absence d’un système intégré permettant aux agents de sécurité et aux opérateurs de protéger leurs infrastructures critiques interconnectées et leurs systèmes cybernétiques à l’ère du numérique. Le projet CYRENE, financé par l'UE, vise à améliorer la sécurité, la confidentialité, la résilience, la responsabilité et la fiabilité des chaînes d'approvisionnement grâce à un processus d'évaluation de la conformité (CAP) nouveau et dynamique qui évalue la sécurité et la résilience des services de la chaîne d'approvisionnement.

Le PAC évalue également les infrastructures informatiques interconnectées qui composent ces services et les appareils individuels qui prennent en charge les opérations CS. Une nouvelle approche collaborative, à plusieurs niveaux et fondée sur des preuves en matière de confidentialité et d’évaluation des risques sera validée dans des scénarios/conditions réalistes impliquant des infrastructures CS et des utilisateurs finaux du monde réel.

Description des activités

CYRENE a commencé par rassembler les exigences légales et sécuritaires pour les services de la chaîne d'approvisionnement (SCS). Les exigences de sécurité ont été collectées auprès des parties prenantes du SCS (partenaires du projet et parties prenantes externes via des questionnaires en ligne), tandis que les exigences légales ont été collectées par le partenaire juridique du consortium. Les exigences ont été classées, analysées et rapportées. L'analyse des exigences a conduit à la spécification du système d'évaluation de la certification de conformité et du processus d'évaluation de la conformité, défini comme un processus d'évaluation progressif, à plusieurs niveaux et fondé sur des preuves entre différents acteurs (auditeurs, évaluateurs, prestataires de services de la chaîne d'approvisionnement, administrateurs et agents de sécurité) avec des droits de contrôle d'accès hiérarchiques. En outre, des modèles ontologiques ont été développés pour les dépendances et les événements d’infrastructure, ainsi que pour les actifs matériels et logiciels, les menaces, les vulnérabilités, les cyberdépendances, les acteurs et leurs interactions, ainsi que des algorithmes pour les effets en cascade des menaces, des risques et des vulnérabilités.

De plus, une architecture a été définie pour une plateforme qui prendra en charge le processus d’évaluation de la conformité. L’obtention réussie des résultats susmentionnés a marqué l’accomplissement des trois premières étapes du projet : MS1, MS2 et MS3. Les travaux ultérieurs se sont concentrés sur la conception et la mise en œuvre de prérequis (c.-à-d. actifs, vulnérabilités, services de la chaîne d'approvisionnement, processus métier dans un schéma de base de données relationnelle conforme à CVSS3.1) pour faciliter le calcul des risques horizontaux à travers des chaînes d'approvisionnement interconnectées impliquant plusieurs acteurs (c.-à-d. fournisseurs de la chaîne d'approvisionnement, auditeurs et évaluateurs). Des services d’exploration automatique ont été conçus et mis en œuvre pour collecter et extraire des informations du dark web. De même, un pipeline de données a été mis en œuvre pour le traitement, la conservation, le stockage, les graphiques et l’analyse de texte des données. L’apprentissage automatique a été utilisé pour classer le texte en fonction de sa pertinence par rapport aux cyberattaques, aux activités illégales et aux événements émergents détectés dans les forums, les marchés et les sites du dark web.

La plateforme de partage de renseignements sur les menaces a été utilisée pour fusionner et classer les termes extraits du dark web en concepts cybernétiques corrélés aux incidents de cybersécurité et aux logiciels malveillants. Des technologies appropriées ont également été configurées pour permettre l’intégration réussie des modules précédemment développés. Il s'agit notamment d'un référentiel GitLab pour télécharger le code du module pertinent vers le système d'intégration et de plusieurs outils d'intégration tels que Kafka Broker, Elasticsearch et KeyCloak pour un accès sécurisé.

De plus, l'environnement Redmine a été configuré pour signaler les problèmes et suivre les activités du projet. Les tâches d’intégration continue incluent l’environnement GitLab susmentionné pour le référentiel de code du processus qui exécute les tests et déploie le code pour chaque itération. Enfin, un modèle a été distribué pour recueillir les informations qui conduiront au schéma de test des modules individuels ainsi qu'au système intégré. En outre, les activités du Work Package 5 comprennent la conception de la méthodologie d’expérimentation avec la création de modèles appropriés pour conduire à la conception réelle des expériences à réaliser dans le Work Package 6.

Objectifs

CYRENE aborde la problématique de l’évaluation et de la certification des exigences de sécurité et de résilience des services de la chaîne d’approvisionnement (SCS). À cette fin, le projet fournit des services, des éléments de base et des composants pour un processus d’évaluation des risques (RA) amélioré qui peut également servir de processus d’évaluation de la conformité (CA) pour évaluer les menaces et les vulnérabilités de sécurité, ainsi que pour évaluer la sécurité et la résilience des SCS et leurs objectifs de sécurité.

Une innovation importante du projet est la double utilisation de la méthodologie RCA, car elle peut être utilisée par les fournisseurs SCS individuels et les partenaires commerciaux pour évaluer et gérer les risques SCS et générer des profils de protection SCS (PP, c'est-à-dire des déclarations de sécurité), mais elle peut également être utilisée par les auditeurs externes et les organismes de certification pour accéder aux objectifs de cybersécurité, aux exigences et à la validité des déclarations SCS PP. Le système de certification CYRENE est une extension de l'EUCC de l'ENISA. De plus, le projet développe une plateforme et un ensemble d’outils complémentaires pour soutenir le processus de certification.

Le processus de certification, le cadre et la boîte à outils seront validés dans deux tests en conditions réelles. Les résultats des tests serviront de base à la formulation d’un ensemble de bonnes pratiques. L’importance des chaînes d’approvisionnement modernes est fondamentale, car elles constituent la base de presque toutes les activités des sociétés modernes. Son bon fonctionnement est essentiel, tandis que sa perturbation a souvent un impact social, économique et politique profond. La certification de la sécurité et de la résilience des services de la chaîne d’approvisionnement renforce la confiance des consommateurs et contribue à un marché unique numérique compétitif et fiable.

Les objectifs de CYRENE sont :

  • Créez des systèmes de certification de sécurité et de confidentialité personnalisés et basés sur les risques pour des services de chaîne d'approvisionnement fiables et basés sur les TIC.
  • Développer un nouveau processus dynamique d’évaluation des risques et de la conformité en matière de cybersécurité qui prend en charge différents types d’évaluations de conformité.
  • Développer un système de certification pour les services de la chaîne d’approvisionnement.
  • Spécifiez des services de modélisation et de simulation pour prédire, détecter et prévenir de manière dynamique les risques de cybersécurité et de confidentialité dans la chaîne d'approvisionnement, et définir des stratégies d'atténuation.
  • Validez la solution CYRENE en l’appliquant à des services de chaîne d’approvisionnement réels.
  • Développer les meilleures pratiques et des normes améliorées pour l’évaluation des risques et la certification des services de la chaîne d’approvisionnement.
  • Contribuer au renforcement des capacités de cybersécurité de l’UE et à relever les futurs défis en matière de cybersécurité.
Résultats

Malgré l’importance socio-économique considérable des chaînes d’approvisionnement (SC), les agents et opérateurs de sécurité manquent toujours d’un moyen simple et intégré pour protéger leurs infrastructures critiques (CI) et leurs systèmes cybernétiques interconnectés à l’ère du numérique. La vision de CYRENE est d'améliorer la sécurité, la confidentialité, la résilience, la responsabilité et la fiabilité des services de la chaîne d'approvisionnement grâce à la fourniture d'un processus d'évaluation de la conformité (CAP) nouveau et dynamique qui évalue la sécurité et la résilience des services de la chaîne d'approvisionnement, les infrastructures informatiques interconnectées qui composent ces services et les appareils individuels qui prennent en charge les opérations de la chaîne d'approvisionnement.

Pour atteindre ses objectifs, le CAP proposé s'appuie sur une approche collaborative, multicouche et fondée sur des preuves en matière d'évaluation de la confidentialité et des risques, qui aide les agents de sécurité et les opérateurs de SC à différents niveaux à reconnaître, identifier, modéliser et analyser de manière dynamique les menaces et vulnérabilités persistantes avancées, ainsi qu'à gérer les risques quotidiens en matière de cybersécurité et de confidentialité et les violations de données. CYRENE sera validé dans des scénarios/conditions réalistes impliquant des infrastructures de chaîne d'approvisionnement et des utilisateurs finaux réels. En outre, le projet garantira la participation active d’un large éventail de parties prenantes externes afin de développer un écosystème plus large autour des résultats du projet, jetant les bases de l’adoption à grande échelle de CYRENE et de son impact mondial.

Informations Complémentaires

Les livrables suivants du projet ont fait progresser l'état de l'art : Le système d'évaluation/certification de la conformité : Le système proposé étend l'EUCC (Cybersecurity Certification Scheme) de l'ENISA et se concentre sur les services complexes de la chaîne d'approvisionnement interconnectés, qui sont visualisés dans trois couches d'abstraction, à savoir les processus commerciaux, les infrastructures interconnectées et les actifs numériques.

L’écosystème très diversifié d’acteurs, de processus et de technologies de soutien qui en résulte constitue une cible d’évaluation pour laquelle des exigences de conformité sont exprimées afin de garantir sa sécurité et sa résilience. Le processus d'évaluation des risques et de la conformité (RCA) et l'évaluation des risques de la chaîne d'approvisionnement fondée sur des preuves à plusieurs niveaux : la méthodologie a spécifié les étapes d'un processus RCA et les fonctions, formules et calculs requis pour effectuer une évaluation collaborative des risques de la chaîne d'approvisionnement dans différentes organisations et rôles. Les étapes incluent les parties prenantes impliquées dans le processus collaboratif, les rôles et les autorisations de chaque partie prenante, ainsi que les flux de travail collaboratifs associés aux processus d’évaluation et de simulation.

Le processus a un double objectif : il peut être utilisé par les parties prenantes du SCS pour évaluer leur partie de la chaîne d’approvisionnement et formuler des déclarations de sécurité, mais il peut également être utilisé par des évaluateurs externes et des organismes de certification pour certifier les déclarations de sécurité énoncées. L'ontologie CYRENE pour les dépendances et les événements d'infrastructure modélise les relations entre les actifs SC et les cyberdépendances lorsqu'ils participent aux processus métier. Les processus commerciaux comprennent des services de chaîne d’approvisionnement auxquels participent des organisations et des individus ayant des rôles divers avec différents droits d’accès hiérarchiques.

Coordonnateurs
  • MAGGIOLI SPA (MAGGIOLI)

Projets connexes

Projet H2020 SIMBA : Innovation durable des applications du microbiome dans le système alimentaire.
Lire la suite
Projet H2020 SUSFOOD2 : cofondateur d'ERA-Net sur la production et la consommation alimentaires durables (SUSFOOD2)
Lire la suite
Projet H2020 ADAPT : Développement accéléré de multiples pommes de terre tolérantes au stress
Lire la suite
Projet H2020 agroBRIDGES : Construire des ponts entre les consommateurs et les producteurs en soutenant les chaînes d'approvisionnement alimentaire courtes grâce à une approche systémique, holistique et multipartite.
Lire la suite