Retour aux actualités
Article suivant Article précédent

Revue 174 - Cyberdéfense le ninja de la tortue

Articles Revue TELECOM

-

15/10/2014




Cyberdéfense le ninja

de la tortue


 


Par Eric Dupuis dans la revue TELECOM n° 174
 

Cybersécurité, Cyberprotection, Cyberdéfense, Cyberrésilience : de nombreux concepts viennent chahuter les responsables d’entreprises en ces temps de risques informatiques et télécom grandissants. Si se construire une carapace de protection de ses biens et services sensibles est essentiel pour garantir la pérennité de son organisation, il est aussi fondamental d’être attentif, aguerri, et de savoir réagir efficacement aux attaques. 
La question aujourd’hui n’est plus de savoir si les organisations (entreprises, institutions, états) seront attaquées… mais plutôt quand elles le seront… et surtout comment elles se sont préparées à réagir. Je vous propose au travers de cet article une petite exploration de la cyberdéfense « dans cette guerre digitale ».

 

Cyberdéfense et guerre informatique : Une histoire de militaires ?

Les grands concepts de cyberdéfense sont anciens et certains puisent leurs sources dans le domaine de la guerre de l’information. Nous pouvons dater les grands débuts de la Cyberdéfense dans les années 95 avec les travaux de la RANDet particulier ceux deMartin C. Libicki sur la guerre de l’information. Dans les écrits de John Arquilla en 2001 on trouve les définitions de ces actions de l’« Information Warfare » : « Actions conduites pour obtenir la supériorité dans le domaine de l’information, en altérant l’information adverse, ses processus basés sur l’information, et ses systèmes supports, tout en protégeant nos propres informations, processus, et systèmes ». Le traumatisme du 11 septembre 2001, fonde les nouvelles doctrines du volet « cyberwarfare », guerre de l’ombre et renseignement. Le cyberespace devient un enjeu majeur pour sécurité intérieure des Etats-Unis avec la création d’une organisation « Homeland Security ». Dès 2002, Le volet cyber prend au sein de cette organisation une importance fondamentale dans la protection cyber des infrastructures critiques : Transports, Energie, Santé … en quelques années, le monde se met au diapason « Homeland ».

En France, en 2006 le rapport du député Pierre Labordes (LAS06) donne aux politiques le premier « coup de semonce » sur la menace Cyber. En 2008, le rapport du sénateur Roger Romani « la Cyberdéfense : un nouvel enjeu de sécurité nationale » (ROM08), définitles grands axes d’organisation de cette sécurité.

En 2008, le Livre blanc sur la Défense et la Sécurité nationale apporte le nouveau volet « savoir et pouvoir se défendre » au volet classique « se protéger » dans l’espace numérique. On y trouve aussi l’exploration de « l’action et la neutralisation de l’adversaire », ce dernier volet ouvrant d’autres voies hors du champ de mon propos.

En 2009, L’ANSSI remplace la DCSSI avec des nouvelles compétences et missions, pour assurer une cybercontinuité de la nation.

Dans le rapport « cyberdéfense » de 2012, du sénateur Jean-Marie Bockel, ce concept de « cyberdéfense » devient une notion complémentaire de la « cybersécurité », qui offre un nouveau cadre d’accueil pour la protection des systèmes d’information, la lutte contre la cybercriminalité et la cyberdéfense.

2013 est certainement l’année majeure de la cyberdéfense avec d’une part la publication du livre Blanc « Défense et sécurité nationale » au mois de juin, qui place le cyber au cœur des enjeux de défense, et d’autre part le vote de la loi de programmation militaire 2014-2019 (LPM) qui donne des moyens concrets aux ambitions nationales dans ce domaine.
 

De la protection des infrastructures critiques à la cyberdéfense d’entreprise


Cette LPM « impose » à plus de 200 opérateurs d’importance vitale, répartis en 12 secteurs d’activités, de mettre en place des mesures pour gérer les incidents graves « cyber ». Jusqu’ici, seule une obligation de moyens leur était demandée, maintenant il s’agira d’une obligation de résultat qui devrait s’étendre rapidement par capillarité à toutes les autres structures économiques.




 

Hackerwar vs Cyberwar avec Hackerdefense vs Cyberdefense


Car il faut se protéger, gérer les cyberattaques, savoir réagir : l’entreprise peut se retrouver confrontée à des situations complexes, par la difficulté de comprendre les causes de la crise ou par l’obligation de fonctionner en mode dégradé lorsque son SI n’est plus pleinement opérationnel. Pourtant, elle se doit de prendre des décisions pour contenir l’incident, d’assurer la continuité de son activité, de communiquer de manière pertinente, ceci avec ses partenaires, ses clients, ses fournisseurs etc.                                                                                                                                                                                                

Il est peu envisageable d’être dans un mode « reflex » pour répondre à ce type d’incident. L’ensemble des structures de décisions doivent être impliquées dans cette réflexion pour passer d’une culture sécurité de moyens à une culture de résultats. La culture de l’entreprise doit aussi s’imprégner « des risques » inhérents à l’informatique. L’entreprise doit non seulement disposer de moyens pour se protéger mais elle doit être aussi apte de se défendre.

La notion de cyberdéfense reste toutefois peu répandue dans le monde de l’entreprise, car encore trop fortement connotée « sécurité nationale et continuité de l’état ».

L’entreprise doit pourtant aussi défendre ses intérêts dans le cyberespace en adoptant une posture de défense réactive qui nécessite connaissance et anticipation.

L’augmentation des attaques ciblées démontre en outre les limites des produits de sécurité classiques. Les attaques les plus élaborées ont recours à des manœuvres complexes techniques et non techniques.

L’entreprise a besoin d’assurer la continuité de son activité (Business Continuity2, résilience3), dans un environnement économique qui se digitalise à très grande vitesse. Si cet engouement technologique apporte de nouvelles opportunités, il fait aussi émerger denouvelles menaces, qui, de surcroit, combinent ces différents niveaux d’attaque (voir figure ci-dessus : Hackerwar vs Cyberwar).

L’entreprise doit surveiller son environnement avec ses propres « yeux » pour analyser, comprendre et devancer ce qui la menace.
 

« se cyberdéfendre » en entreprise

Pour la cyberdéfense d’entreprise, l’analyse systémique et dynamique l’environnement est nécessaire pour acquérir une bonne vision de son écosystème et en faciliter la veille. Si des vecteurs de menace sont clairement identifiés, des actions d’influence, de persuasion, voire de déception à l’encontre des attaquants peuvent modifier leur perception de la situation et les dissuader à agir contre les intérêts de l’entreprise. Cette approche globale impose donc la définition d’objectifs clairs et nécessite l’analyse de toutes les forces en présence.

L’entreprise évolue dans un contexte incertain, notamment dans un cyberespace qui est de plus en plus prégnant, où l’attribution des actions demeure une problématique encore non résolue. Ainsi, la meilleure maitrise de la situation, désignée par les militaires par leterme Cyber situational awareness (KAU14), implique au minimum la connaissance étendue de son environnement « digital » et la veille en temps réel de la menace. On trouve par ailleurs dans des méthodologies de cartographie de l’environnement de nombreuxrecoupements entre cyber-renseignement, sécurité économique et intelligence économique et stratégique.

Mon propos ne consiste pas à chercher à « militariser » l’entreprise, car celle-ci n’a pas à être lourdement armée pour se défendre, elle doit simplement disposer des méthodes, faire preuve d’organisation et posséder des méthodes pour utiliser au mieux ses moyens de protection, de les compléter si besoin, guidée par une posture à 3 piliers adaptée à ses enjeux et ses ambitions : « Veille, Alerte, et Réaction ».
 

Veiller donc sur son environnement cyber en surveillant :

•  son écosystème digital : son propre système d’information, ses interactions numériques avec ses partenaires, fournisseurs et clients ;

•  sa signature « Internet » : ses sites Web, l’usage des réseaux sociaux par l’entreprise ou ceux que pratiquent les salariés ;

•  sa vulnérabilité « digitale » : les vulnérabilités des composants technologiques informatiques constituant les systèmes de décision, d’information, de production...
 

Disposer de systèmes de détection d’anomalie et d’incident avec des moyens d’alertes efficaces (SIEM4, SOC5 …)

•  pour instrumenter la traçabilité sur toutes les couches digitales : du réseau à l’informatique décisionnaire, en passant par la téléphonie, les systèmes de productions SCADA, et déjà les objets connectés ;

•  et construire des scenarii d’agrégation d’évènements capables d’identifier les effets redoutés qui pourraient impacter gravement l’activité économique.
 

Réagir de manière adaptée (CSIRT6 …)

•  selon des modes dégradés, être capable d’activer un PCA (Plan de continuité d’activité) ;

•  pour analyser les évènements de sécurité, les traces, pour éviter les propagations éventuelles, comprendre quels sont les impacts collatéraux ;

•  et gérer de manière la plus sereine la reprise d’activité, la communication de crise avec ses clients, ses partenaires, etc.

Au-delà de ces trois fonctions essentielles, on pourra aussi noter qu’en quelques années l’approche des risques informatiques a fortement évolué. Il n’est pas loin le temps où les experts cartographiaient les risques informatiques, dont les attaques font partie, enconjuguant probabilités et impacts supposés. Depuis les révélations d’Edward Snowden certains experts annoncent que la probabilité que des événements surviennent sur vos systèmes est passée à « 1 », et qu’il est simplement nécessaire d’analyser l’impact pour convaincre un responsable de prendre les mesures adaptées et de développer ses capacités de « cyber tortue ninja ».

•  Cyberprotection : capacité à se protéger contre les rigueurs de l’hiver « Cyber », les menaces connues…

•  Cyberdéfense : capacité à se défendre pour se sortir d’un mauvais « pas » tout en restant en alerte et en étant aguerri : voir, anticiper, réagir ;

•  Cyberrésilience : capacité à se remettre sur pied rapidement après une agression aussi douloureuse et/ou invalidante qu’elle puisse être.

La littérature « cyberdéfense » s’enrichit chaque jour de nouveaux ouvrages explorant la cyberstratégie, la cyberpolitique et la cyberguerre, mais si vous aimez les cyber-technologies, des travaux sur l’autodéfense et la survivabilité des systèmes informatiques commencent à poindre… et ils vous donneront bien d’autres cyber-peurs. 


 

Références

Bibliographie
 

 (KAU14) David Kaufman - Cyberdéfense d’Entreprise - Mastère Cybersécurité, Télécom Bretagne – 2014

• (VEN11) Daniel Ventre, - Cyberattaque et cyberdéfense – août 2011

• (ARQ01) John Arquilla - Networks and Netwars: The Future of Terror, Crime, and Militancy – 2001

• (LIB95) Martin C. Libicki - What Is Information Warfare Hardcover – Juin 1995
 

Urlographie
 

 (BOC12) rapport BOCKEL du n°681 du 18 juillet 2012
 

•  (ROM08) Rapport d’information n° 449 (2007-2008) de M. Roger ROMANI (Sénateur), juillet 2008 (http://www.senat.fr/rap/r07-449/r07-4491.pdf)
 

(LB13) Livre blanc défense et sécurité nationale 2013 (http://www.gouvernement.fr/sites/default/files/fichiers_joints/livre-blanc-sur-la-defense-et-la-securite-nationale_2013.pdf)
 

(LAS06) La sécurité des systèmes d’information : un enjeu majeur pour la France (http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/064000048/0000.pdf)
 

 


1/ Rand Corporation : www.rand.org
2/ Continuité d’activité 3/ Reprise d’activité
3/ SIEM : Security information and event management
 
4/ SOC : Security Operation Center 

5/ CSIRT : Computer Security Incident Response Team


Source : Yves Correc dans “vers la guerre informatique” - DGA - 2001

 

L’auteur


Eric 
Dupuis dirige depuis 2011 le centre « cyberdéfense & confiance numérique » d’Orange Consulting pôle « Audit, Conseil, et Expertise » d’Orange Business Services après avoir occupé différents postes dans des sociétés de services informatiques.
 Ingénieur des corps techniques de l’armement, il a exercé pendant plusieurs années à la Délégation Générale pour l’Armement dans les domaines du renseignement, de la lutte informatique et de la Cyberdéfense. Il y a en particulier développé des services d’expertises en menaces informatiques & télécom au profit de différents services du ministère de la défense. Ingénieur du Conservatoire National des Art et Métiers, il y enseigne l’ingénierie et la sécurité des logiciels. Auditeur IHEDN de la 50ième Session Armement et Economie de Défense, il est lieutenant-colonel réserviste citoyen Cyberdéfense au titre de la Gendarmerie. Contact : eric.dupuis@orange.com Orange Business Services

 

490 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Comment la France peut réussir dans le quantique # 197

photo de profil d'un membre

Rédaction Revue TELECOM

28 juillet

Articles Revue TELECOM

ORDINATEUR QUANTIQUE ET CRYPTOGRAPHIE POST-QUANTIQUE #197

photo de profil d'un membre

Rédaction Revue TELECOM

13 juillet

Articles Revue TELECOM

Editorial l'informatique quantique # 197

photo de profil d'un membre

Rédaction Revue TELECOM

13 juillet