mercredi 15 janvier 2014

Prévisions de la menace cybernétique : entre simplisme et complexité

Dans un très récent article, le responsable de la recherche de l'une des grandes sociétés de cybersécurité internationales explique qu'une meilleure efficacité contre les cyberattaques passe par un système de prévisions de la menace. Si je suis depuis longtemps convaincu qu'une cybersécurité efficiente et efficace oblige à un changement de paradigme (1), je suis plus réticent face aux arguments et aux propositions développés dans l'article en question.

Il est sans doute vrai que de nombreuses institutions et entreprises établissent leurs analyses de risques en se basant sur des tendances historiques mais aussi des événements redoutés obsolètes ou non-applicables (2). Cependant, la compilation de faits historiques indiquant un certain "comique de répétition" peut aussi être toujours d'actualité et même représenter une bonne partie des cyberattaques ! Y compris en 2014. Rappelons-nous simplement ce qu'en disait le regretté Sid ainsi que l'intéressant rapport publié en 2013 consacré aux "panorama des (cyber)menaces 2015". La mémoire des cyberattaques, proche ou lointaine, continue(ra) donc d'éclairer le présent et le futur proche.

Cette approche peut également s'appliquer aux APT (3) en dépit des apparences. Ce n'est pas parce que le temps moyen nécessaire à leur découverte est d'environ 416 jours (ou 13 mois)(4) qu'elles sont d'une redoutable complexité technique ! En réalité, les risques liés aux mécanismes utilisés pour leur introduction puis leur exploitation pourraient être sérieusement réduits...en s'en donnant les moyens (5). Et c'est là où les propositions de l'article en question me paraissent ne pas correspondre à une majorité de menaces et à entrer dans la zone grise de l'approximation.

Tout d'abord, l'auteur propose d'analyser les données collectées par des réseaux de type "appeaux", sur le même principe que les pots de miel. Une idée intéressante sur le fond mais qui ne garantit aucunement de voir toutes les attaques, tous les exploits ou tous les nouveaux chemins d'attaques. Ce serait postuler que l'ensemble des pirates, surtout les meilleurs (6), de toutes les nationalités, viendraient, tels des papillons de nuit se brûler les ailes, un soir d'été, sur les lumières des sanitaires du camping "les Flots Bleus" ! L'idée, probablement intéressante, apparait cependant limitée car les résultats seront loin d'être exhaustifs. Ensuite, il propose d'étudier les "produits de sécurité déjà déployés [...] y compris les nouvelles générations de firewalls et d'IDS/IPS". Une proposition étonnante qui ressemble davantage à l'ouverture d'une porte déjà ouverte, par le biais des qualifications et certifications, qu'à une idée lumineuse et originale.

Pourtant, l'article en question a l'intérêt de remettre sur le devant de la scène cyberdéfense un champ en friches plein de potentialités. Qu'on y songe : la lutte contre les attaques cybernétiques est globalement en échec car reposant presque uniquement sur une perspective et des mécanismes déployés en aval voire, pire, a posteriori. Tandis qu'en amont, la détection des signes avant-coureurs et la connaissance actualisée du niveau général de vulnérabilités exploitables (d'un système d'information) restent des gisements d'amélioration significatifs peu explorés. 

Finalement, l'impression d'une industrie de la cybersécurité hémiplégique, et qui proposerait comme un saut qualitatif des œillères à un pilote borgne, l'emporte. Pour autant, le changement de paradigme précédemment évoqué a déjà commencé. Ne "reste plus qu'à" développer les outils, l'ingénierie et les compétences, ce qui est le défi actuel de la cyberdéfense. Une perspective intellectuelle et économique stimulante pour laquelle des places, sur le podium international, sont à saisir. Donc à "aller chercher" par de la volonté industrielle, des investissements suffisants et le développement d'une filière soutenue par l’État. Si les deux premières conditions continuent d'interroger, la dernière, elle, semble sur de bons rails (7).


(1) Lire la série d'articles en collaboration avec l'allié Cidris sur l'Alliance géostratégique intitulée "la sécurité de l'information est-elle un échec ?
(2) à un contexte, une spécificité, une particularité comme des centrifugeuses d'enrichissement nucléaire, par exemple !
(3) Advanced Persistent Threats soit Menaces Persistantes Avancées
(4) selon la société de sécurité américaine Mandiant
(5) Sensibilisation (des décideurs et des utilisateurs) + principes  de défense en profondeur + supervision de la sécurité + analyse des flux entrants ET sortants
(6) c'est à dire dont l'employeur est soit mafieux soit étatique !
(7) Via le comité de la filière industrielle de sécurité (CoFIS) et le plan "cybersécurité" de la Nouvelle France industrielle 

3 commentaires:

3C a dit…

Suite à la lecture de cet article, je vous renvoie à la lecture de cet article : http://lecercle.lesechos.fr/entreprises-marches/high-tech-medias/informatiques/221188524/est-big-data-vont-apporter-a-securite-i

l'utilisation du Big Data par les entreprises pourrait être un premier outil pour la connaissance des vulnérabilités et la perception de la menace.

Si vis pacem a dit…

Merci d'avoir signalé cet article qui explique bien comment, mais sans être une fin en soi, le Big Data pourrait venir effectivement renforcer les différents niveaux de protection d'un système d'information.

Gof a dit…

Bonsoir :)

Peut-être pas très pertinent, mais en lisant l'article, j'ai repensé à la Gendarmerie qui, en s'inspirant de la méthode de Delphi, avait publié un exercice prospectif sur le devenir de la cybercriminalité en Novembre 2011 à l'occasion d'un FIC.

Analyse prospective sur l'évolution de la cybercriminalité de 2011 à 2020 (PDF) : Version FR - Version EN.

Un article vu passé revenait sur la méthode d'analyse en question : Prédire sans séries statistiques : l’exemple de la cybercriminalité.