CyberRange / KYPO
CyberRange KYPO : scénariser un exercice cyber réaliste et mesurable
Un CyberRange utile ne se limite pas à lancer des machines. Il doit relier objectifs pédagogiques, choix de plateforme, orchestration, accès, traces, mesures et limites de publication. Cette page est une synthèse publique du travail mené autour de KYPO : elle montre la méthode, l'architecture et les livrables exploitables, sans exposer les éléments confidentiels du mémoire ou de l'environnement.
Ce que couvre le travail CyberRange
Le mémoire CNAM porte sur la scénarisation d'une attaque dans une CyberRange open source. L'enjeu n'est pas seulement de faire fonctionner une plateforme, mais de vérifier qu'elle peut servir un besoin d'enseignement : apprendre, manipuler, mesurer, rejouer et documenter.
La synthèse publique doit donc montrer trois choses : la logique de choix de plateforme, l'ingénierie d'environnement et la manière de transformer un exercice technique en objet pédagogique exploitable.
- mémoire CNAM
- KYPO V1
- enseignement cyber
- scénarisation d'attaque
- synthèse publique
Pourquoi une CyberRange open source
Le choix open source répond à une contrainte très concrète : permettre à un établissement, une équipe pédagogique ou un laboratoire de construire un environnement d'entraînement sans dépendre uniquement d'une solution commerciale coûteuse ou fermée.
Cette approche impose en contrepartie une vraie discipline d'ingénierie : lire la documentation, comparer les options, documenter les limites, accepter une ergonomie parfois moins lissée, puis produire les preuves qui rendent la plateforme crédible.
- coût maîtrisé
- réutilisation
- adaptation pédagogique
- traçabilité
- communauté
Méthode de choix et critères d'évaluation
Le corpus ne présente pas KYPO comme un choix magique. Il met en avant une démarche de comparaison entre CyberRanges : organisation technique, documentation, capacité à créer des environnements réalistes, scénarisation, collecte d'événements, coûts, maintenabilité et adéquation au public visé.
Cette étape est importante parce qu'elle évite le piège du projet vitrine. Une CyberRange utile doit être défendable devant un jury, une équipe pédagogique ou une direction : pourquoi cette plateforme, pour quel usage, avec quelles limites et quelles preuves ?
- matrice de décision
- critères pédagogiques
- critères techniques
- limites assumées
- preuves attendues
Architecture KYPO V1 : socle, cloud et orchestration
Le socle étudié repose sur une logique cloud : virtualisation, réseaux isolés, machines d'entraînement, accès navigateur ou SSH, orchestration des sandboxes et services applicatifs pour gérer utilisateurs, entraînements, réponses, événements et supervision.
Dans la pratique, cela mobilise OpenStack/KVM, KYPO Lite, Vagrant/libvirt, des composants de type microservices, une interface web, une brique d'identité et des mécanismes de collecte d'événements. L'important est de relier ces composants à leur usage pédagogique : créer, distribuer, observer et rejouer des environnements.
- OpenStack
- KVM
- Vagrant/libvirt
- sandbox
- interface web
- collecte d'événements
KYPO Lite : utile pour maquettage, pas à survendre
KYPO Lite permet de tester rapidement une chaîne complète, notamment en déployant OpenStack et KYPO dans un environnement contraint. C'est précieux pour apprendre, documenter, importer un scénario et comprendre les interactions entre couches.
La contrepartie est claire : une pile fortement virtualisée a des limites de performance, de ressources et de simplicité opérationnelle. Pour une production sérieuse, il faut distinguer le démonstrateur ou lab local d'une architecture avec OpenStack externe, ressources dimensionnées, supervision et gouvernance d'accès.
- maquette
- lab
- virtualisation imbriquée
- dimensionnement
- production séparée
Sécurisation et exploitation du VPS/lab
La partie exploitation du corpus montre que la CyberRange ne se limite pas à son scénario. Il faut aussi gérer les accès, durcir les services exposés, cadrer SSH/RDP, suivre les comptes, appliquer des politiques de mot de passe, prévoir Fail2Ban ou équivalent, puis documenter sauvegarde et restauration.
Cette couche est décisive pour la crédibilité du projet. Un exercice cyber perd son sens si l'environnement d'entraînement lui-même est administré de manière floue, non sauvegardée ou impossible à remettre dans un état propre.
- SSH/RDP
- Fail2Ban
- permissions
- sauvegardes
- restauration
- documentation d'exploitation
Scénarisation : blue-print, dry-run, run
Un scénario CyberRange mature commence par un blue-print : objectifs, prérequis, topologie, rôles, consignes, succès attendus, traces à produire et points d'observation. Vient ensuite le dry-run, où l'on vérifie que chaque étape est compréhensible, accessible et rejouable avant d'exposer l'exercice aux participants.
Le run réel ne dure parfois que quelques heures, mais il dépend de semaines de préparation. Après l'exercice, l'analyse des logs, les retours apprenants et les mesures de plateforme servent à corriger la narration, ajuster les indices, améliorer les supports et stabiliser l'environnement.
- blue-print
- dry-run
- run
- retour d'expérience
- amélioration continue
Exemple de parcours : Junior Hacker Adaptive
Le corpus mentionne l'import et l'étude d'un environnement de type Junior Hacker Adaptive. Ce type de scénario illustre bien l'intérêt de KYPO : proposer une progression guidée, ouvrir l'accès à plusieurs machines, faire manipuler l'apprenant, puis conserver des traces utiles pour l'évaluation.
L'intérêt public n'est pas de dévoiler toutes les réponses ni les paramètres internes. Il est de montrer la logique : exploration de l'environnement, accès initial, connexion à un serveur, recherche d'éléments sensibles, exploitation contrôlée, puis analyse des actions réalisées.
- progression guidée
- sandbox
- accès VM
- indices
- évaluation
- traces d'activité
Mesurer la plateforme : VM, charge et logs
La crédibilité d'une CyberRange se joue dans la mesure. Le corpus prévoit des essais avec plusieurs tailles d'environnement, par exemple 3, 6 et 9 VM, afin de vérifier les temps de chargement, la consommation CPU/RAM, la stabilité réseau, l'accessibilité des machines et la capacité à collecter des événements.
Ces mesures évitent les promesses vagues. Elles indiquent ce que la plateforme sait vraiment supporter, dans quelles conditions, avec quel nombre de participants et quelles traces exploitables après l'exercice.
- 3/6/9 VM
- temps de provisionnement
- CPU/RAM
- stabilité réseau
- logs labellisés
Livrables réutilisables et synthèse publique
La valeur professionnelle du projet tient aussi aux livrables : matrice de choix, dossier d'architecture, cahier de tests, runbooks, planning, scripts, topologies expurgées, mesures, logs anonymisés et synthèse publique.
Cette page doit donc raconter une compétence complète : comprendre un besoin pédagogique, choisir une plateforme, construire un environnement, le sécuriser, scénariser un exercice, mesurer son fonctionnement et publier seulement ce qui peut l'être.
- matrice de choix
- cahier de recette
- runbooks
- mesures
- logs anonymisés
- publication maîtrisée
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Quel niveau vise l'exercice : découverte, automatisme technique, analyse, défense, crise ou production de livrable ?
- KYPO Lite suffit-il pour maquettage et pédagogie, ou faut-il une plateforme OpenStack externe pour une vraie production ?
- Quelle enveloppe de ressources est réaliste pour le nombre de participants, de VM, de services et de logs attendus ?
- Quels accès doivent être ouverts aux apprenants, aux administrateurs, aux enseignants et aux observateurs ?
- Quelles traces doivent être conservées pour évaluer l'exercice sans collecter plus de données que nécessaire ?
- Quel contenu peut être publié sans violer la confidentialité du mémoire, du corpus ou de l'infrastructure ?
Technique
À vérifier techniquement
- Objectifs pédagogiques traduits en niveaux, rôles, machines, actions attendues et critères de réussite
- Socle OpenStack/KVM documenté, avec limites de virtualisation imbriquée et enveloppe CPU/RAM/stockage assumées
- Déploiement KYPO Lite via Vagrant/libvirt pour maquettage, et trajectoire de production distinguée de l'environnement de test
- Gestion des accès administrateur, SSH/RDP, permissions, politiques de mot de passe, durcissement et sauvegardes
- Import ou adaptation d'un scénario de type Junior Hacker Adaptive avec sandbox, topologie et consignes rejouables
- Recette utilisateur : accessibilité des environnements, accès aux VM, cohérence réseau et documentation adaptée
- Mesures de capacité sur plusieurs tailles de scénario, par exemple 3, 6 puis 9 VM, avant toute promesse de montée en charge
- Génération, analyse et labellisation des logs pour rendre l'exercice exploitable après la session
Preuves
Preuves à conserver
- Note de cadrage pédagogique : public cible, compétences, niveaux, objectifs et critères d'évaluation
- Matrice de choix entre plateformes open source et commerciales, avec critères d'architecture, pédagogie, coût, maintenance et réutilisation
- Dossier d'architecture expurgé : composants KYPO/OpenStack, réseau, stockage, accès et dépendances sans secret ni adresse sensible
- Cahier de recette : installation, accès admin, tests de base, accessibilité utilisateur et validation fonctionnelle
- Runbooks d'exploitation : installation, sauvegarde, restauration, durcissement, supervision et remise à zéro de sandbox
- Définitions de sandbox, topologies YAML, scripts ou exports conservés sous forme expurgée et rejouable
- Mesures de charge et de provisionnement : temps de création, ressources consommées, limites observées et conditions du test
- Jeux de logs labellisés ou anonymisés : commandes, événements d'entraînement, traces système et observations post-exercice
- Synthèse publique séparée du mémoire complet, avec vérification de confidentialité avant publication
Pièges
Erreurs fréquentes
- Présenter KYPO Lite comme une architecture de production alors qu'il sert surtout au maquettage, à l'évaluation et à la montée en compétence.
- Commencer par l'outil avant d'écrire ce que l'apprenant doit observer, décider ou démontrer.
- Importer un scénario sans dry-run, sans recette d'accès et sans vérification des logs.
- Confondre capture d'écran de VM et preuve de rejouabilité pédagogique.
- Publier des IP, comptes, mots de passe, paramètres internes, topologies complètes ou annexes confidentielles.
- Annoncer une capacité multi-utilisateur sans mesure de charge, sans seuils et sans limites documentées.
Questions fréquentes
Pourquoi parler de CyberRange sur un site GRC et cybersécurité ?
Parce qu'un CyberRange relie plusieurs compétences visibles : cadrage de besoin, choix d'architecture, infrastructure, automatisation, accès, observation, logs, mesure, confidentialité et restitution pédagogique.
Le mémoire complet doit-il être publié ?
Non. La synthèse publique suffit : elle montre la méthode, les compétences et les livrables sans exposer le contenu confidentiel, les identifiants, les adresses, les paramètres techniques sensibles ou les annexes d'exploitation.
KYPO Lite peut-il servir en production ?
Il faut le présenter avec prudence. KYPO Lite est très utile pour maquettage, expérimentation et montée en compétence, mais une production doit être dimensionnée, supervisée et idéalement séparée sur une infrastructure OpenStack adaptée.
Qu'est-ce qui prouve que l'exercice est sérieux ?
Les preuves ne sont pas seulement des captures : il faut une topologie documentée, un dry-run, une recette d'accès, des mesures de charge, des logs exploitables, des consignes compréhensibles et une analyse post-exercice.
Que faut-il éviter de mettre en ligne ?
Tout ce qui expose l'environnement réel : IP, comptes, mots de passe, clés, chemins internes sensibles, topologie complète non expurgée, annexes confidentielles ou réponses détaillées d'un scénario rejouable.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.