Webinaire : “IDMEFv2, Theory and Practice » Le 26 juin 2025 (14h-16h)

mai 2025 par Valentin Jangwa, Global Security Mag

En cours de standardisation auprès de l’IETF (Internet Engineering Task Force) par une équipe internationale de chercheurs internationale pilotée par l’Institut des Mines Télécom, le format IDMEFv2 (Incident Detection Message Exchange Format) est un format standardisé de remontée d’information pour la détection d’incident. Conçu pour gérer tous types d’incidents tant cybers que physiques ou naturels. Il facilite la détection d’attaques complexes et hybrides sur les infrastructures critiques, permet la supervision des objets connectés et mobiles et anticipe la prise en compte de la convergence cyber et physique. Son interopérabilité permet également l’interconnexion de Centres de Sécurité Opérationnels (SOC) et le déploiement de « SOC » dans le monde civil comme dans le monde de la défense.

Agenda :

• Théorie

o La problématique de la détection d’incidents hétérogènes

o La solution proposée par IDMEFv2

o L’historique du format

o Les cas d’usage

o Les principaux concepts techniques

o Le processus de standardisation en cours

o Les différents outils et librairies disponibles

• Pratique

o Présentation de plusieurs projets Européens utilisant IDMEFv2 : 7SHIELD, PRECINCT, CyberSEAS, ATLANTIS, KINAITICS, TESTUDO, ENDURANCE et SAFE4SOC.

o Retex sur l’utilisation du format

• Conclusion

o Q & A

o Démonstration

o Réseautage autour du montage de projets IDMEFv2

Nota : Le webinaire sera présenté en anglais.

Agenda complet et enregistrement sur le site de l’IDMEFv2 :

https://www.idmefv2.org

IDMEFv2 : Historique

Le format IDMEFv2 (Incident Detection) s’appuie sur certains concepts de son prédécesseur IDMEFv1 (Intrusion Detection – RFC 4765 - 2007) en l’élargissant à tous types d’incidents (Cybers et Physiques), en y associant la dimension disponibilité, la géolocalisation et enfin en y rajoutant l’interférence possible des éléments naturels sur la sécurité des systèmes. Phénomènes naturels dont l’importance est croissante lorsque ces systèmes sont embarqués au sein d’architectures mobiles hors des datacenters abrités et réfrigérés.

La définition de ce format est le résultat d’une suite de projets de recherche dont le premier SECEF1 (SECurity Exchange Format) a été financé par la DGA et sponsorisé par l’ANSSI en 2015. L’objectif de ce premier projet était la promotion du format IDMEFv1 au sein des administrations et de l’armée et ses conclusions ont mis en évidence la nécessité de faire évoluer le format. En 2020, la collaboration entre le projet FUI SECEF2 et un projet H2020 (7Shield.eu) de protection d’infrastructures critiques contre des attaques hybrides et complexes a mis en avant la nécessité d’élargir le format à tous les types d’incidents physiques et naturels. L’initiative IDMEFv2 (www.idmefv2.org) de standardisation auprès de l’IETF d’une nouvelle version du format est alors lancée. Aujourd’hui, c’est au sein d’un projet de recherche Européen Safe4SOC (Standard Alert Format Exchange for SOC) que les travaux se poursuivent pour encore deux ans sous la responsabilité des équipes de recherches de Telecom SudParis.

IDMEFv2 : implémentation technique

Pour faciliter son adoption, IDMEFv2 s’appuie sur des concepts simples et universels. Techniquement, les drafts définissent une implémentation de message JSON transporté sur HTTPs. Conceptuellement, le format privilégie la simplicité à l’exhaustivité avec des mécanismes simples d’extension. C’est à ce jour la seule initiative de format d’incident qui combine l’espace numérique avec l’espace physique ainsi que la possibilité de traiter des incidents naturels.

Ce format répond ainsi à des problématiques de protection des infrastructures critiques et vitales mais également à la collaboration inter-soc et cela dans le monde civil comme dans le monde militaire en particulier en cas de collaboration interarmées. Actuellement le format est en phase de test et validation dans plusieurs projets de recherche européens. La version définitive est prévue pour le début de l’année 2027. Compte tenu des sujets géopolitiques qui secouent l’Europe en ce début d’année 2025, il est urgent que les industriels et les administrations de la sureté et de la sécurité nationale, ainsi que ceux de la Défense s’impliquent pour soutenir cette phase de réglage et adoption au côté des équipes de recherche.