Un modèle open source pour les menaces pour simplifier la sécurité
Une adoption plus vaste du framework Critical Security Controls permettrait de simplifier la tâche des RSSI.
Développé par un consortium fondé par l’institut SANS, Tripwire et Qualys, le Conseil de la cybersécurité, le framework Critical Security Controls pourrait aider les entreprises à prendre de meilleures décisions de sécurité, plus rapide et plus facilement.
Disponible en version 5.1, ce framework regroupe un ensemble de moyens pratiques de se protéger contre les attaques les plus avancées. Lors d’une présentation donnée à l’occasion de RSA Conference 2015, James Tarala, consultant chez Enclave, l’un des membres du Conseil, a estimé que les entreprises ne devraient pas évaluer les risques de manière individuelle, mais devraient s’appuyer sur un modèle de menace ouvert, piloté de manière communautaire, pour appuyer chacune des décisions de sécurité.
« Nous voulons catégoriser les menaces, nous voulons une hiérarchie des menaces, et nous voulons aboutir à un inventaire, une taxonomie, pour pouvoir examiner les menaces et disposer d’une documentation faisant la promotion de ce langage », a-t-il ainsi indiqué.
Et pour lui, la première étape consiste à disposer d’une compréhension commune de ce qui constitue une menace. Il s’agit là de réduire la confusion lors des débats autour des quatre composants d’une menace : agents, actions, cibles et conséquences.
« L’idée est que la manière dont nous décidons des contrôles de défense à appliquer est basée sur ce que nous percevons comme étant une menace », explique-t-il. « Si nous croyons que la menace change constamment et reste exclusive à notre secteur d’activité, alors les contrôles changent continuellement pour notre secteur d’activité. Mais cela ne signifie pas que ce soit vrai ».
Selon Tarala, il est erroné de considérer que chaque secteur d’activité est confronté à ses propres menaces spécifiques. Pour lui, l’exclusivité est finalement très limitée. Mais cette erreur de représentation conduit, d’après Tarala, à accorder plus de priorité aux contrôles de sécurité qu’à la circonscription du risque. Las, s’il est décidé de diminuer les ressources de protection contre les attaques par scripting inter-sites (XSS) parce que leur probabilité d’occurrence diminue, le risque associé à ces attaques augmente naturellement…
Dès lors, pour Tarala, il est plus pertinent non pas de se concentrer sur la probabilité d’occurrence d’une attaque, qui change continuellement, mais sur une taxonomie de menaces : pour lui, il y a plus de recouvrement que l’on ne pense généralement entre actions et cibles des menaces.
Dans sa forme actuellement, le framework Citrical Security Controls s’appuie sur cinq catégories de menaces de haut niveau (physique, naturelle, fournisseur, effectifs, technique) et sur neufs agents de la menace, dont les états-nations, les employés bienveillants et… l’environnement.
Chaque catégorie est alors divisée en sous-catégories. Par exemple, les menaces physiques recouvrent le vol et la destruction de biens ; les menaces naturelles, l’environnement et la météo ; les fournisseurs, l’interruption de services et les défaillances logistiques ; les effectifs, le manque de compétences et l’erreur humaine. La catégorie technique est de loin la plus vaste avec la gestion des accès, l’utilisation abusive de privilèges, le code malicieux et bien plus encore.
Pour Tarala, cette catégorie est aussi celle qui reçoit le plus d’attention. Et la plupart des défenses de se concentrer sur les menaces correspondantes, au détriment des autres : « je sais que ces sujets techniques sont sexy. Mais s’il est possible d’entrer dans votre centre de calcul et d’en ressortir avec un serveur sous le bras, les contrôles techniques appliqués à ce serveurs n’ont pas vraiment d’importance ».
Dès lors, selon Tarala, une fois que la taxonomie est créée et que les contrôles sont définis correctement, ceux-ci sont alignés sur les différentes catégories et sous-catégories afin de trouver les lacunes des modèles mis en œuvre et de créer une méthodologie d’évaluation du risque pratique.
Une nouvelle version du framework Critical Security Controls est attendue pour cet été. Des mises à jour de la taxonomie et de la méthodologie sont prévues tous les trois à six mois. Et Tarala d’appeler à la mobilité de bras supplémentaires pour aider à finaliser les catégories des agents de la menace et des conséquences des menaces, pour définir les probabilités d’occurrence de menaces, et enfin affiner la liste des actions de menaces.
Adapté de l’anglais