« Regardez bien la nature et vous comprendrez tout », a un jour affirmé Albert Einstein. Bien évidemment, il ne faisait pas allusion à la cybersécurité à l’époque, mais ce précepte peut tout à fait y être transposé.
Réfléchissons un instant à la façon dont chaque espèce a développé sa stratégie de défense en fonction d’un seul et unique critère : les caractéristiques de son principal prédateur. Certains animaux parient sur la vitesse tandis que d’autres adoptent une enveloppe protectrice ou un camouflage, ou encore misent sur leur aptitude à grimper, etc. Les variations sont illimitées. En revanche, l’objectif affiché par toutes les espèces reste le même : se défendre contre leur principal prédateur.
En quoi tout cela rejoint-il nos stratégies de cyberdéfense ?
Malheureusement, en aucun point. En fait, l’approche que nous avons adoptée pour nous défendre face aux cybercriminels est aux antipodes de ce que nous montre la nature. Quel que soit notre secteur d’activité et notre emplacement géographique, nous recourons tous aux mêmes outils pour nous protéger : les mêmes passerelles de courrier électronique, passerelles Web, pare-feu, antivirus, outils de détection d’intrusion, etc. En outre, les mises à jour des signatures pour ces outils sont fournies par les mêmes éditeurs, sans aucune différenciation, qu’il s’agisse d’une banque ou d’un fournisseur d’énergie, que cette entreprise soit située en France, en Amérique latine ou encore qu’elle possède des bureaux dans le monde entier. En bref, notre stratégie de sécurité est ancrée dans la vision selon laquelle nous faisons tous face au même prédateur. Or, nous savons bien qu’il n’en est rien.
Une analyse des incidents signalée par n’importe quel SOC (Security Operations Center) fera très rapidement ressortir une toute autre tendance. Certes, tous secteurs et emplacements géographiques confondus, les entreprises partagent le même bruit de fond, pour lequel les solutions conventionnelles apportent une couverture raisonnable. En revanche, la majeure partie du risque encouru par les entreprises est lié à ces deux principaux facteurs :
1) Les campagnes de cybercriminalité organisée lancées dans la langue locale et reprenant des éléments de contexte régional, qui sont de fait plus dévastatrices (par exemple, des campagnes de phishing locales extrêmement crédibles).
2) Les adversaires hautement spécialisés qui visent un secteur d’activité et lancent sans relâche des campagnes innovantes avec des cibles spécifiques en ligne de mire.
Il est évident que nous n’affrontons pas tous le même prédateur
Il ne s’agit pas d’affirmer que les entreprises devraient modifier leurs technologies de défense. En fait, la majorité de ces outils sont extrêmement performants. Leur caractère inadapté provient surtout de leur dépendance exclusive à des mises à jour de signatures déterminant les éléments devant être bloqués ou détectés. Pour adapter sa stratégie de défense et se protéger face à ses adversaires, il est devenu essentiel de disposer de données générales sur les menaces grâce à des renseignements plus spécifiques sur ces menaces. Pour cela, plusieurs sources sont disponibles, notamment :
- Les équipes d’intervention de CERT, nationales/gouvernementales, qui développent et fournissent des renseignements sur les menaces à partir d’un emplacement géographique et d’un secteur, afin de permettre aux entreprises de comprendre les menaces qui se produisent localement dans leur secteur spécifique et de s’y adapter ;
- les centres ISAC (Information Sharing and Analysis Centers) organisés par secteur d’activité, qui diffusent à leurs membres des renseignements sur les menaces visant leur secteur ;
- les flux de renseignements sur les menaces disponibles sur le marché, qui fournissent des données à jour sur les menaces, différenciées par adversaire, cible et secteur géographique ;
- les sources dites « ouvertes » (Open Source Intelligence, OSINT), c’est-à-dire librement accessibles, qui, bien que moins ciblées, sont nombreuses et fournissent des données gratuites sur les menaces pouvant représenter de précieuses informations ;
- ses propres dispositifs de sécurité et/ou systèmes SIEM qui produisent une quantité considérable de données historiques des événements et des journaux, jouant ainsi le rôle de mémoire de tout ce qui s’est produit au sein de son environnement.
Une stratégie de défense adaptée à chaque attaquant
L’utilisation de ces sources de données sur les menaces, en complément des mises à jour publiées par les éditeurs conventionnels, permet d’adapter sa stratégie de protection et de détection en fonction des prédateurs qui font courir le risque le plus grand à son entreprise.
C’est ici qu’il nous faut ériger la ligne de démarcation entre notre monde et le règne animal, au sein duquel l’évolution est dessinée depuis des millions d’années. Dans le monde virtuel, les prédateurs, leurs cibles et leurs tactiques, techniques et procédures (TTP) peuvent évoluer en quelques heures, c’est pourquoi les acteurs de la défense doivent impérativement suivre le rythme. Par exemple, si un adversaire change de tactique ou d’exploits ciblés, il est intéressant d’être informé de ce changement au plus vite pour pouvoir adapter sa stratégie de défense dans les plus brefs délais.
Automatiser la prévention et la réponse aux menaces
Pour suivre les menaces et leur évolution, il est ensuite possible de disposer d’un référentiel centralisé regroupant l’ensemble des données sur les menaces qui concerne son entreprise à un seul emplacement gérable, où il sera possible de traduire automatiquement ces menaces dans un format uniforme pour les analyser et prendre des mesures en conséquence. Étant donné que ces flux d’informations sur les menaces contiendront inévitablement certaines données sans intérêt pour son entreprise, il faut pouvoir noter et hiérarchiser les données sur les menaces à partir des priorités définies pour pouvoir filtrer automatiquement le bruit. Ainsi il est possible de se concentrer sur ce qui importe pour son entreprise et envoyer des renseignements pertinents sur les menaces directement à sa grille de détection (pare-feu, IPS/IDS, routeurs, terminaux et sécurité du Web et de la messagerie). Ces renseignements serviront à créer, appliquer et mettre à jour des stratégies et des règles afin de protéger de façon proactive son entreprise des menaces à venir. À mesure que les menaces évoluent, davantage de données et de contexte pourront être progressivement ajoutées afin de continuellement ajuster ce référentiel centralisé.
Cela permet non seulement de faire face aux dernières menaces rapidement et efficacement, mais également de se protéger des menaces à venir.
Comme Albert Einstein l’avait observé, la nature peut nous aider à mieux comprendre tout ce qui nous entoure, et cela est également vrai lorsqu’il s’agit d’optimiser notre stratégie de protection contre les cybercriminels. En plaçant la veille sur les menaces au cœur de nos systèmes de défense, nous pouvons faire évoluer le centre des opérations de sécurité traditionnel vers un SOC reposant sur le renseignement ou vers un SIC (Security Intelligence Center). Nous pouvons ainsi adapter notre stratégie de défense en fonction de nos prédateurs. Cette approche prévaut dans le règne animal depuis des millions d’années. Elle doit également nous inspirer.