Outil de supervision et/ou d'hypervision centralisée d'un ensemble de systèmes de niveaux de sécurité différents

La présente invention concerne un outil de supervision et/ou d'hypervision d'un ensemble de systèmes de niveaux de sécurité différents.

Elle s'applique notamment à la surveillance centralisée de plusieurs systèmes d'information lorsque lesdits systèmes sont soumis à des contraintes de sécurité inégales.

Afin de surveiller des entités telles que des systèmes d'informations, des salles protégées, des systèmes de production ou de contrôle, il est connu d'employer un outil de supervision ou d'hypervision centralisée. Un outil de supervision rassemble sur un même lieu des indicateurs issus des différentes entités surveillées afin d'offrir une vision d'ensemble de l'état desdites entités. Un outil d'hypervision offre, en plus de l'outil de supervision, une vision synthétique des indicateurs d'état, des corrélations pouvant être opérées entre des indicateurs issues d'entités distinctes.

Cependant, lorsque les niveaux de sensibilité des données manipulées sur chacun des réseaux sont différentes, la surveillance centralisée desdits réseaux est rendue difficile du fait des contraintes imposées par les règlements visant la protection des données. L'interconnexion d'un premier système, de niveau de sécurité élevé, avec un second système, de niveau de sécurité plus faible, pose au moins deux types de problèmes : le fuite d'informations sensibles du premier système vers le second système et les intrusions provenant du second système. Classiquement, les centres de supervision sont alors implantés au niveau du réseau de sécurité le plus élevé, les autres réseaux étant reliés via des liaisons mono-directionnelles au centre de supervision pour alimenter ledit centre en indicateurs d'état. Les communications étant effectuées dans le seul sens montant, aucune fuite d'information présente dans le réseau de sécurité le plus élevé n'est possible. Toutefois, la réglementation appliquée au niveau du réseau de sécurité le plus élevé induit généralement l'application de contraintes coûteuses, tant du point de vue technique qu'en matière de formation, d'organisation et d'habilitation du personnel.

Afin de placer un centre de supervision dans un réseau de sécurité plus faible pour éviter les contraintes susmentionnées, il est connu d'utiliser un système d'interconnexion multi-niveaux de sécurité. Selon un mode de fonctionnement, un tel système multi-niveaux est préalablement configuré afin de définir quels types de données sont confidentiels. Un étiquetage des flux de données est effectué pour distinguer les flux de données confidentiels des flux de données peu sensibles. Il faut donc définir manuellement, pour chacun des protocoles de communication utilisés, des étiquettes et des règles de filtrage à appliquer. Cette phase de configuration manuelle est longue et coûteuse. De plus, les étiquettes appliquées aux flux de données doivent être signées par des clés cryptographiques, ce qui nécessite la mise en œuvre d'une infrastructure de gestion de clés.

Enfin, un outil de supervision et/ou d'hypervision doit pouvoir transmettre d'éventuelles alertes en temps réel, ce qui exclut d'emblée les solutions faisant appel à une intervention manuelle pour filtrer les informations sensibles.

Un but de l'invention est de proposer un système de supervision et/ou d'hypervision peu coûteux, apte à fonctionner dans un réseau de niveau de sécurité relativement faible et permettant de recueillir et de centraliser en temps réel ou quasi-réel, sans risque de compromission de données sensibles, des informations issues de réseaux de niveaux de sécurité plus élevés. A cet effet, l'invention a pour objet un outil de supervision et/ou d'hypervision centralisée d'un ensemble de systèmes de niveaux de sécurité différents, lesdits systèmes émettant des messages, ledit outil comportant un système d'affichage, l'outil étant caractérisé en ce qu'au moins un système supervisé comprend une ou plusieurs passerelles de transformation des messages émis en données image, lesdites passerelles transmettant lesdites données image via une liaison mono-directionnelle au système d'affichage, au moins un des systèmes supervisés étant d'un niveau de sécurité plus élevé que le niveau de sécurité de la zone dans laquelle est disposé le système d'affichage.

L'outil selon l'invention effectue une rupture sémantique de l'information. Un avantage de cette rupture est que la donnée image issue de la transformation est difficilement interprétable par un automate, contrairement à une donnée textuelle, directement exploitable par un logiciel

d'analyse. La création de canaux auxiliaires est ainsi rendue difficile. En outre, contrairement à ce qui est réalisé classiquement en matière de sécurité, la liaison mono-directionnelle transmet des informations du réseau de niveau de protection élevé vers un réseau de niveau de protection plus faible.

Selon un mode de réalisation de l'outil de supervision et/ou d'hypervision centralisée selon l'invention, au moins un système supervisé comprend une passerelle apte à agréger entre-eux plusieurs messages émis par ledit système supervisé pour générer un message au contenu sémantique plus grossier.

Cette agrégation de message permet de mélanger plusieurs informations afin de diminuer les risques de compromission de données sensibles.

Selon un mode de réalisation de l'outil de supervision et/ou d'hypervision centralisée selon l'invention, les liaisons mono-directionnelles sont des liaisons vidéo effectuant un déport d'affichage d'une passerelle vers un écran. Ce mode de réalisation réduit les risques d'intrusion informatique, la liaison étant uniquement dédiée à l'affichage d'images. Le système d'affichage peut alors comprendre un ou plusieurs écrans, au moins un écran étant associé à chaque système supervisé, une liaison mono-directionnelle reliant un système supervisé à le ou les écrans qui lui sont associés. Un « mur d'images » peut ainsi être réalisé, de sorte qu'un opérateur humain ayant accès au système d'affichage a à sa disposition une vue d'ensemble des réseaux de niveaux de sécurité différents. Selon un autre mode de réalisation de l'outil de supervision et/ou d'hypervision centralisée selon l'invention, au moins une liaison monodirectionnelle est une liaison réseau apte à transporter les données images, le dispositif d'affichage comprenant au moins un écran relié à un module de traitement recevant lesdites images, le module de traitement étant équipé d'un logiciel apte à représenter les images issues de plusieurs réseaux sur le même écran. Ce mode de réalisation permet d'obtenir une représentation synthétique de l'état des différents réseaux sur le même écran.

Selon un mode de réalisation de l'outil de supervision et/ou d'hypervision centralisée selon l'invention, les messages sont des messages SNMP/UDP (« Simple Network Management Protocol » / « User Datagram

Protocol »), la passerelle comprenant un adaptateur apte à transformer les messages SNMP/UDP en images.

Selon un mode de réalisation de l'outil de supervision et/ou d'hypervision centralisée selon l'invention, au moins une passerelle est adaptée à transformer les messages en données image en fonction du contenu sémantique desdits messages, contrairement à ce qu'effectuent classiquement de simples outils de transformation du format d'une donnée.

Selon un mode de réalisation de l'outil de supervision et/ou d'hypervision centralisée selon l'invention, les messages sont des indicateurs d'état, les images issues de la transformation desdits messages étant des représentations symboliques du contenu sémantique desdits indicateurs.

L'invention a également pour objet un procédé de supervision et/ou d'hypervision centralisée d'un ensemble de systèmes de niveaux de sécurité différents, au moins un système supervisé comprenant une ou plusieurs passerelles et des capteurs et/ou dispositifs d'alerte émettant des messages, lesdites passerelles étant reliées à un même système d'affichage, le procédé comprenant, pour au moins un système supervisé de niveau de sécurité supérieur au niveau de sécurité de la zone dans laquelle est disposée le système d'affichage, au moins les étapes suivantes : o une passerelle comprise par ledit système supervisé reçoit et transforme les messages émis en données images ; o ladite passerelle transmet, via une liaison mono-directionnelle, les données image au système d'affichage.

Selon une mise en œuvre du procédé selon l'invention, le procédé comprend également une étape au cours de laquelle une passerelle agrège plusieurs messages entre-eux afin de créer un message au contenu sémantique plus grossier.

D'autres caractéristiques apparaîtront à la lecture de la description détaillée donnée à titre d'exemple et non limitative qui suit faite en regard de dessins annexés qui représentent :

- la figure 1 , un premier mode de réalisation de l'outil d'hypervision selon l'invention,

- la figure 2, un second mode de réalisation de l'outil d'hypervision selon l'invention,

- la figure 3, un synoptique illustrant un premier exemple de procédé selon l'invention,

- la figure 4, un synoptique illustrant un deuxième exemple de procédé selon l'invention.

La figure 1 présente un premier mode de réalisation de l'outil de supervision/hypervision selon l'invention. L'outil de supervision/hypervision de la figure 1 vise à surveiller des réseaux indépendants 101 , 102 à partir d'une zone 103 soumise à un niveau de sécurité plus faible qu'au moins un des réseaux surveillés 101 , 102. Dans l'exemple, le premier réseau surveillé 101 est soumis à un niveau de sécurité maximal, le deuxième réseau surveillé 102 est soumis à un niveau de sécurité intermédiaire, et la zone 103 à partir de laquelle les réseaux sont surveillés est soumise à un niveau de sécurité minimal. L'outil selon l'invention comprend un système d'affichage 135 disposé dans la zone 103 de sécurité minimale, le système d'affichage 135 comprenant au moins un écran, deux écrans 131 , 132 dans l'exemple de la figure 1 . Le système d'affichage 135 permet à un agent de surveillance 140 de connaître à tous moments la situation des réseaux supervisés 101 , 102. Le premier réseau supervisé 101 comprend des capteurs et/ou dispositifs d'alerte 1 1 1 , 1 12, 1 13 reliés à une passerelle 1 15. Les capteurs et/ou dispositifs d'alerte 1 1 1 , 1 12, 1 13 génèrent des messages, par exemple pour indiquer leur état. A titre d'illustration, un capteur de température 1 1 1 est apte à émettre un message pouvant prendre au choix trois valeurs différentes : « température normale », « température élevée », « incendie » ; un dispositif d'alerte 1 12 placé sur un coffre peut émettre deux états au choix : « coffre ouvert » ou « coffre fermé » ; un poste informatique pourvu d'un logiciel de détection anti-intrusion peut émettre au choix quatre états : « fonctionnement normal », « tentative d'intrusion », « intrusion détectée » ou « hors service ». Les messages sont transmis à la passerelle 1 15, par exemple via un réseau informatique 1 17 de type Ethernet. Selon un mode de réalisation de l'outil de supervision/hypervision selon l'invention, le protocole simple de gestion de réseau SNMP, en référence au sigle anglo-saxon « Simple Network Management Protocol », est utilisé pour lever des alertes.

Les messages peuvent alors être transportés jusqu'à la passerelle 1 15 via des datagrammes UDP (« User Datagram Protocol »), par exemple.

La passerelle 1 15 transforme les messages issus des capteurs et/ou dispositifs d'alerte 1 11 , 1 12, 113 en images. Autrement dit, les codes ou les données textuelles contenus dans les messages sont interprétés par la passerelle 115 qui, selon la nature et/ou la valeur du message, crée une image symbolisant le contenu sémantique du message. Ainsi, la passerelle reçoit des messages en entrée, mais ne produit que des images en sortie, de sorte qu'une rupture formelle importante est effectuée par la passerelle 1 15. A titre d'exemple, pour reprendre l'exemple précité du capteur de température, une image en forme de losange vert est produite lorsque le message reçu est « température normale », un losange orange pour la valeur « température élevée » et un losange rouge lorsque le message prend la valeur « incendie ». Les images peuvent être produites à intervalles rapprochés, de manière à générer un flux vidéo.

Par ailleurs, selon un mode de réalisation de l'outil selon l'invention, la passerelle 1 15 combine plusieurs messages avant de transformer le résultat de cette combinaison en une image. Par exemple, si la passerelle 115 reçoit un message « température normale » provenant d'un premier capteur de température et un autre message « température élevée » provenant d'un second capteur présent dans le même réseau que le premier capteur, alors une forme synthétique pour représenter ces deux informations combinées est générée, par exemple un hexagone orange au lieu de deux losanges respectivement vert et orange. Cette agrégation d'informations permet de générer une image au contenu sémantique plus grossier, en l'espèce, l'image générée signifie « au moins l'un des deux capteurs a détecté une température trop élevée ». Ainsi, d'un point de vue extérieur, seule cette information grossière peut être connue, limitant ainsi le risque de compromission de données sensibles. Dans l'exemple, cette agrégation de données peut être utilisée si, la connaissance de la température sur un seul des deux capteurs est une information confidentielle. Selon ce mode de réalisation, la passerelle 1 15 effectue donc deux traitements pour limiter les fuites de données confidentielles : l'agrégation d'informations portées par les messages et la rupture formelle pré décrite.

Une fois une image produite par la passerelle 1 15, cette image est transmise au premier écran 131 du système d'affichage 135 par une liaison 151 vidéo mono-directionnelle. Autrement dit, la liaison 151 est réalisée de telle sorte qu'aucune donnée ne puisse transiter du dispositif d'affichage 135 vers la passerelle 1 15. Selon le mode de réalisation présenté en figure 1 , la liaison 151 ne transporte pas des paquets de données informatiques ; cette liaison permet un simple déport d'affichage sur un écran 131 distant de la passerelle 1 15.

Le deuxième réseau supervisé 102 comporte une structure analogue à celle du premier réseau 101 , c'est-à-dire des capteurs et/ou dispositifs d'alerte 121 , 122, 123, 124 reliés à une passerelle 125, laquelle transmet des données images au second écran 132 du dispositif d'affichage 135 via une seconde liaison mono-directionnelle 152.

Selon un autre mode de réalisation, chacun des réseaux supervisés 101 , 102 peut comprendre plusieurs passerelles, le déport d'affichage étant alors effectué pour chacune des passerelles.

La figure 2 présente un second mode de réalisation de l'outil de supervision/hypervision selon l'invention. L'outil de supervision/hypervision de la figure 2 vise à surveiller des réseaux indépendants 201 , 202 à partir d'une zone 203 soumise à un niveau de sécurité plus faible qu'au moins un des réseaux surveillés 201 , 202. Dans l'exemple, le premier réseau surveillé 201 est soumis à un niveau de sécurité maximal, le deuxième réseau surveillé 202 est soumis à un niveau de sécurité intermédiaire, et la zone 203 à partir de laquelle les réseaux sont surveillés est soumise à un niveau de sécurité minimal.

Selon ce second mode de réalisation, l'outil selon l'invention comprend un système d'affichage 235 disposé dans la zone 203 de sécurité minimale, le système d'affichage 235 comprenant au moins un écran 231 et un module de traitement 233, lequel est par exemple un poste informatique. De la même manière que dans le premier mode de réalisation présenté en figure 1 , au moins une passerelle 215, 225 présente dans un réseau supervisé 201 , 202 transforme les messages émis par des capteurs 21 1 , 212, 213, 212, 222, 223 en images.

Néanmoins, à la différence du premier mode de réalisation, les images sont transmises de chacune des passerelles 215, 225 vers le

dispositif d'affichage 235 via une liaison réseau mono directionnelle 251 , 252 et l'utilisation d'un protocole non connecté. Les images sont alors reçues par le module de traitement 233, lequel combine les images reçues des différents réseaux pour produire une représentation graphique synthétique, cette représentation étant affichée sur l'écran 231 associé au module de traitement 233.

La figure 3, un synoptique illustrant un premier exemple de procédé selon l'invention.

Pour un réseau à superviser, dans un premier temps 301 , des capteurs 31 1 , 312, 313, 321 , 322, 323, 324 du réseau produisent des messages 360, par exemple sous forme de code ou de texte. Dans un deuxième temps 302, le contenu sémantique des messages 360 est interprété et transformé en image 370 par une passerelle. Dans un troisième temps 303, les images 370 précédemment produites sont transmises via une liaison mono-directionnelle au dispositif d'affichage.

Dans un quatrième temps 304, le dispositif d'affichage utilise les images 370 issues des différents réseaux pour produire une représentation graphique de la situation supervisée.

La figure 4, un synoptique illustrant un deuxième exemple de procédé selon l'invention comprenant une étape supplémentaire d'agrégation sémantique de messages.

Pour un réseau à superviser, dans un premier temps 401 , des capteurs 41 1 , 412, 413, 421 , 422, 423, 424 du réseau produisent des messages 460, par exemple sous forme de code ou de texte. Dans un deuxième temps 402, des messages 460 sont agrégés entre-eux pour former un message 461 au contenu sémantique plus grossier. Dans un troisième temps 403, le contenu sémantique des messages 460, 461 est interprété et transformé en image 470 par une passerelle.

Dans un quatrième temps 404, les images 470 précédemment produites sont transmises via une liaison mono-directionnelle au dispositif d'affichage.

Dans un cinquième temps 405, le dispositif d'affichage utilise les image 470 issues des différents réseaux pour produire une représentation graphique de la situation supervisée.

L'outil de supervision/hypervision selon l'invention peut, par exemple, être utilisé par une entreprise pour surveiller l'intégrité de ses réseaux informatiques et de ses salles de coffres, ces réseaux et salles étant indépendants les uns des autres, certains réseaux et salles étant plus sensibles que d'autres. Dans ce contexte, l'outil de supervision/hypervision est, de préférence, placé dans une zone peu sensible, par exemple au niveau de l'accueil de l'entreprise. Un agent de surveillance sans besoin de qualification ou d'accréditation particulier est alors chargé de veiller sur l'outil pour transmettre aux personnes compétentes une éventuelle alerte levée sur l'un des systèmes surveillés. L'outil selon l'invention est donc utilisé pour effectuer une surveillance passive par l'agent, lequel n'a pas pour rôle d'intervenir sur le réseau ayant levé l'alerte.