samedi 10 mai 2014

Détection avancée des cyberattaques, nouvel Eldorado de la cyberdéfense ?

Le débat cherchant à trancher qui de l'attaque ou de la défense aurait l'avantage dans le domaine cyber n'est ni récent ni nouveau (1). De nombreux outils quittent actuellement l'étape de la recherche et des laboratoires pour tenter de se faire une place sur le lucratif (2) marché de la cybersécurité. Parmi eux, certains promettent d'améliorer significativement le niveau de cyberdéfense par la détection avancée de cyberattaques potentielles. Focus sur une avancée qui pourrait apporter plusieurs bouleversements majeurs.

Ce qui pouvait sembler encore récemment relever du domaine de la science-fiction pourrait, en fait, devenir l'une des tendances majeures des cinq prochaines années. Avec à la clé un possible bouleversement du lucratif marché de la cybersécurité (3). En effet, la possibilité de détecter efficacement toute tentative de cyberattaque le plus en amont possible avec comme but ultime de l'empêcher voire de la contrer relèverait de l'un des fondamentaux de la cybersécurité en 2020. Au bémol près que l'action d'entraver une tentative de cyberattaque est, pour le moment (4), l'unique apanage de certains États qui disposent de réelles capacités offensives (5).

Pour ce faire, et sans que cela ne soit une mince affaire, le système à élaborer puis à déployer est/sera un système complexe combinant :
- des prévisions c'est à dire des modèles prédictifs couplés à des analyses de risques actualisées en temps réel ;
- des capteurs multi-sources également temps réel mixant des signaux faibles, une analyse des fuites de données (6) et du Big Data.
Ce système permettrait d'acquérir une cybersituation (opérationnelle) globale et en temps-réel dont l'évolution, à moyen terme, serait de disposer de la cartographie entière d'un système d'information sous forme graphique et dynamique. Ce qui laisserait le champ ouvert à de la configuration fine et en temps réel afin d'ajuster les principes de cyberdéfense souhaités sinon souhaitables. 

Les cibles de valeur (7), les chemins d'attaque et l'activité malveillante potentielle pourraient y être représentées afin de permettre la prise de décisions en fonction d'éléments tant objectifs que subjectifs. Idéalement, ce système pourrait permettre de mieux appréhender les risques en fonction de la valeur des cibles à un instant donné et dans un contexte systémique mais aussi en fonction du niveau de vraisemblance de la cyberattaque supposée. Il est évidemment utile de souligner que ce système reposerait sur une richesse contextuelle au travers de l'utilisation du renseignement venant de capteurs multiples et injecté dans un dispositif d'analyses puissant et dynamique. Le renseignement d'intérêt cyber (RIC) tout comme le renseignement d'origine cyber (ROC) deviendrait alors l'alpha et l'oméga de la cyberdéfense.

Cependant, et avant de se réjouir d'une tendance incertaine pour le moment, il convient de préciser sinon de marteler une chose toute simple. La meilleure des technologies ne remplacera jamais le respect des fondamentaux et des bonnes pratiques. Et avant de miser donc d'investir sur de coûteux produits qui réclament de coûteux services et de coûteuses compétences, il vaudrait peut-être mieux connaître précisément son système d'information (8), ce qui représente sa valeur (7)(9) et être "orthodoxe" dans l'application de certaines règles. Comme, notamment, le cloisonnement des réseaux ou l'attribution des droits au plus juste qui tendent vers une situation plus saine donc une réduction sensible de la surface d'attaque. Dans le cas inverse, l'on restera en situation d'appliquer une cautère, certes technologique et incroyablement complexe, mais sur une jambe de bois gangrénée.


(3) certaines firmes Israéliennes se révélant très en pointe pourraient venir rebattre la hiérarchie actuelle des sociétés de produits et de services en cybersécurité tant en Europe qu'aux États-Unis
(4) et pour longtemps encore ?
(5) États-Unis, Israël, Chine, Royaume-Uni, France, Allemagne, Corée(s), Japon (?), Russie, Inde (?), Brésil (?), ...
(7) les fameux "asset" ou biens, en français
(8) la cartographie, encore et toujours
(9) http://www.eweek.com/security/data-theft-a-major-concern-for-organizations.html

Aucun commentaire: