FIC 2015 : Partager l’information, point clé de la lutte contre les menaces
Une table ronde organisée lors du FIC 2015 a souligné l’importance du renseignement sur les menaces pour améliorer globalement la sécurité des systèmes d’information.
Une table ronde organisée lors du FIC 2015 a souligné l’importance du renseignement sur les menaces pour améliorer globalement la sécurité des systèmes d’information.
Charles Rami, responsable de l’équipe technique française de ProofPoint, souligne d’emblée l’importance du sujet : « quand une entreprise fait l’objet d’une attaque, elle n’est généralement pas la seule. Les campagnes visent de nombreuses organisations en parallèle. Le but est d’identifier la campagne, les modes opératoires des attaquants, et surtout quel type d’information ils cherchent à obtenir ».
Mais de quelques types d’informations est-il question ?
William Dupuy, chef du centre de cyberdéfense du ministère de la Défense, le Calid, note que le renseignement sur les menaces comporte une « composante technique très importante », évoquant les « marqueurs » d’attaque « en mémoire, sur le disque dur, les fichiers touchés, etc. »
Mais le renseignement va au-delà, tentant d’apporter une réponse, ou à tout le moins un début de réponse à la question de l’attribution. Complexe, celle-ci s’avère néanmoins essentielle pour « envisager des réponses au-delà du cyberespace. » Mais pas uniquement, relève Thibault Signat, en charge d’équipe avant-vente de FireEye pour l’Europe du Sud. Pour lui, identifier l’acteur « est essentiel pour nous », permettant de distinguer des comportements, des méthodes, des pratiques, et, in fine, de mieux protéger contre la menace.
Traquer l’attaquant… sans le lui faire savoir
Mais seule une fraction du renseignement de sécurité s’avère au final présenté au grand public : des rapports comme ceux publiés sur les activités des groupes APT1 et FIN4 « ne sont que la partie publique diffusable ». Au nom d’intérêts économiques, notamment, certaines informations ne sont ainsi pas partagées. Mais aussi pour mieux lutter contre les attaquants.
Les auteurs d’action peu techniques comme de simples défacements montent en compétence
William Dupuy explique : « personne ne veut que l’attaquant gagne des informations sur ce que l’on sait de lui. Cela peut sembler très simple énoncé comme ça. Mais tant que l’attaquant n’est pas identifié, on se pose la question de savoir à qui on peut adresser l’information le concernant. » Car, comme il le précise, communiquer sur un incident en cours de résolution, « revient à dire à l’attaquant “on t’a repéré et voilà comment on t’a repéré” ». Avec un risque en retour : fournir à l’attaquant des indices sur la manière de passer inaperçu.
Mais Charles Rami relève des différences culturelles d’un pays à l’autre, ou d’un secteur d’activité à l’autre, avec déjà des plateformes d’échange outre-Atlantique, pour les services financiers. En France, selon lui, le secteur hospitalier et les universitaires sont les plus ouverts à l’échange de renseignements sur les menaces.
Responsable de l’équipe CSIRT d’Airbus Defense & Space Cybersecurity, David Biseul relève un point, clé selon lui : « quel que soit le canal, il est toujours important de pouvoir définir la manière l’information partagée pourra être utilisée et par qui ». Un protocole permet d’ailleurs cela. Et de relever que les « la communication entre les CERT fonctionne très bien », qu’il s’agisse d’échanger sur des marqueurs techniques, des modes d’attaque, ou des échantillons de code, notamment.
Mais traquer l’attaquant, c’est aussi le suivre dans ses activités, jour après jour, comme le fait Thierry Berthier, chercheur au sein de la chaire de cybersécurité et cyberdéfense Saint-Cyr-Thales.
Ses travaux, fondés sur l’étude des groupes de cybercriminels spécialistes du « hacking d’influence », au plus près, notamment via des « forums underground », ont déjà permis d’élaborer des modèles prédictifs efficaces. Et fort de ses observations, il alerte : s’il est facile de regarder de haut des auteurs d’action peu techniques comme de simples défacements, « ce n’est qu’un début », et ces acteurs montent ensuite en compétence pour s’ouvrir à d’autres pans de la cybercriminalité.
Des équipements qui partagent directement l'information mais des entreprises encore frileuses
Les équipements de sécurité de nouvelle génération s’appuient de plus en plus sur le renseignement sur les menaces et sont même capables de remonter à leurs constructeurs des informations collectées chez les clients, sur les menaces détectées. Il s’agit de faire profiter, au plus vite, toute une communauté d’informations pour se protéger. Thibault Signat estime qu’environ 70 % des plateformes FireEye déployées dans le monde sont configurées de sorte à autoriser le partage d’informations.
Les organisations d’Europe continentale plus frileuses que les anglo-saxonnes
De son côté, Charles Rami reconnaît que « le partage d’information avec nos clients n’est pas simple. Il demandent des garanties, que l’on parvient à démontrer ». Mais cela n’empêche pas ces entreprises utilisatrices de « se poser la question de ce qui est partagé et avec qui, pour en faire quoi ». Et là, Charles Rami relève un « élément fondamental » pour amener des clients à contribuer leurs renseignements sur les menaces : « la confiance vis-à-vis de ceux à qui ils donnent ces informations ». Et d’estimer que les organisations d’Europe continentale sont généralement plus frileuses que leurs homologues anglo-saxonnes.
Mais collecter les renseignements ne fait pas tout, comme l’a montré l’incident dont a été victime Target, pourtant équipé par FireEye : « la plateforme était en mode de surveillance. Elle a déclenché des alertes. Mais derrière, il n’y avait pas les processus nécessaires pour réagir ».
Et Thibaul Signat de relever que le spécialiste de la sécurité travaille toujours avec l’enseigne américaine, mais désormais de manière plus étendue.