La défense en profondeur : Seul bouc-émissaire ?

Il serait particulièrement présomptueux de jeter l’opprobre sur la seule
défense en profondeur. Rappelons s‘il en est besoin, que ce concept consiste à
mettre en œuvre plusieurs couches de sécurité capables de prendre le relais, en
cas d’échec de la détection d’une attaque par une couche précédente. Cela
signifie que chaque couche est un niveau de sécurité indépendant. Cela s’est
traduit par un empilement de technologies disparates ayant chacune leur propre
intelligence et travaillant dans leur propre silo. Mais ce n’est pour autant pas
d’un concept que découle cet empilement et ce, dans l’absence de centralisation
des flux d’informations. Ce serait trop long ici de la décrire dans le détail
mais certaines études de recherche et des expérimentations à l’instar d’une
étude dédiée de la Carnegie-Mellon University de Pittsburgh * montre bien
l’absence de causalité entre des technologies différentes et le choix de ne pas
les mettre en synergie.

Le rapport d’enquête annuel sur les compromissions de données de Verizon (DBIR)
en 2015 aboutissait à une conclusion similaire en notant qu’il « était
nécessaire que les entreprises puissent appliquer leur intelligence sur la menace
à leur environnement de manière efficace ».

« La mode se démode, le style jamais »

Si l’on devait être un peu provocant, on pourrait se demander si la
cybersécurité ne subit pas les affres du marketing. En effet, alors que la
supervision de la sécurité s’est imposée comme une nécessité dans de
nombreuses organisations, un certain nombre d’autres task forces ont fait leur
apparition. À l’instar des centres de supervision de la sécurité (SOC) de
différents niveaux, des équipes réseau, des équipes de réponses à incident,
parfois même des services dédiés aux malwares ont émergé. Ne nous y trompons
pas, cette tendance est réellement positive et va dans le sens de l’histoire.
Elles constituent en effet une chance pour manager la sécurité des SI, mais pour
autant qu’elles soient coordonnées, bien dimensionnées, et qu’elles puissent
se parler.

S’il est de notoriété publique qu’un « état » de cyber sécurité c’est
20% de technique 80% d’humain, on oublie bien souvent que « l’opération » de
cyber sécurité, c’est 20% d’équipements bien conçus, 80% de bons experts en
sécurité en capacité de choisir, de piloter, de paramétrer, d’analyser et de
contrôler ces mêmes équipements.

Il est donc essentiel et central que ces équipes travaillent ensemble, échangent
de l’information et du renseignement et soient chapeautées par une instance
centralisatrice et coordonnatrice.

L’intelligence du bon sens

Tous les ingrédients existent donc bel et bien. Il reste donc à remettre du liant
entre toutes les couches de sécurité et entre tous les services de sécurité et
ainsi, remédier à la tendance naturelle de la discipline à une certaine autarcie.
Et pour se faire, il serait peut-être opportun de miser sur l’opportunité
d’ouverture extérieure intrinsèque qu’offre le développement de la Threat
intelligence. En effet, basée sur le cycle de renseignement, au sens académique du
terme, à savoir sur la collecte et l’organisation des informations, cette
discipline permet d’intégrer tous les produits de sécurité mis en place dans
une stratégie de défense en profondeur et d’en réduire la fragmentation.

Selon la définition de Gartner, la threat intelligence est « la connaissance
fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs,
les implications et des conseils concrets, concernant une menace nouvelle ou
existante ou un risque pour les actifs d’une organisation qui peuvent être
utilisés afin d’éclairer les décisions concernant la réponse du sujet à cette
menace ou un danger. De la même façon que la Threat Intelligence répond à la
fragmentation sur son domaine, c’est toute la philosophie de la cyber sécurité
qui pourrait en bénéficier.

Pour obtenir un maximum d’informations contextuelles sur la menace et les utiliser
dans le cadre d’une stratégie de gestion de la menace, les entreprises utilisent
généralement des flux de données multiples et de formats différents : sources
commerciales, open-source, données mises à disposition par d’autres acteurs de
leur industrie ou encore par des observatoires. Faute de connaissances et d’outils
adaptés, il est impossible alors de filtrer automatiquement ces montagnes de
données globales et disparates, de les agréger afin de les analyser ou de lancer
des actions d’analyse et de réaction sur des attaques. Ces données restent donc
fragmentées et sans contexte, elles ne sont que du bruit ambiant.

Les plateformes de threat intelligence (TIP) proposent donc aujourd’hui
d’agréger ces données externes, puis d’opérationnaliser et de mettre en
application cette intelligence. Une fois recueillies et centralisées, les données
globales (structurées et non-structurées) doivent être traduites dans un format
uniforme, puis être enrichies par des données sur les menaces et événements
internes. En corrélant les événements et les indicateurs de compromission issus
de son environnement propre, avec des données externes sur les indicateurs, les
adversaires et leurs méthodes, s’obtient un contexte favorable pour comprendre ce
qui est pertinent et hautement prioritaire pour son entreprise. À ce stade, il
devient alors possible d’utiliser ces données qualifiées, d’exporter et de
distribuer automatiquement cette intelligence vers toutes les couches de défense en
profondeur et ainsi améliorer la sécurité de l’entreprise et son exposition aux
failles. Cette logique ne peut évidemment s’appliquer que si les équipes en
place, toutes les équipes, sont conduites et invitées à travailler ensemble, pour
non seulement mieux décider mais pour être beaucoup plus efficientes. C’est une
évidence conceptuelle bien qu’une réalité terrain.

L’obligation de travailler ensemble ne se décrète pas. Elle se manage et se
travaille. Tout d’abord, cela tient en effet d’une vision commune appliquée à
toutes les équipes. C’est en mettant en place un référentiel unique et
centralisé dans lequel est mis à disposition l’intelligence et le contexte sur
la menace que cela débute. Ce référentiel permet de favoriser la collaboration de
façon presque transparente. Les équipes peuvent ensuite ajouter des commentaires
et stocker des données pendant des années, le référentiel peut ainsi devenir le
fil rouge du processus de renseignement. Au fur et à mesure que les différentes
équipes utilisent et mettent à jour ce référentiel, le partage instantané
d’informations entre les autres équipes est favorisé et entraîne des décisions
plus rapides et avisées.

Pour aller plus loin, intégrer ce référentiel à d’autres systèmes existants - y
compris, mais sans s’y limiter - le SIEM, les journaux de logs, les systèmes de
ticketing, les plateformes de réponse aux incidents, les outils d’orchestration et
d’automatisation - pourrait permettre aux équipes d’utiliser les outils et les
interfaces de confiance qu’elles connaissent déjà tout en bénéficiant et
disposant toujours des sources de threat intelligence (ex : l’équipe de réponse
aux incidents utilise des outils d’investigation numérique et de gestion de cas ;
l’équipe malware utilise des sandbox ; le SOC utilise le SIEM ; l’équipe du
réseau utilise des outils de surveillance du réseau et des pare-feu, etc.).

En tirant parti d’une sorte de Knowledge management de la menace, grâce à ce
référentiel que les équipes ont elles-mêmes nourri et mis à jour
collectivement, tout cette énergie fonctionne. À partir d’une seule source
d’intelligence, il est possible de réduire ainsi la fragmentation et la
complexité afin d’accélérer la détection et la réponse, d’agir vite et bien.
Cette contribution d’enrichissement mutuel est certainement duplicable à toute
démarche sécuritaire en entreprise.

* Source : Etude la Carnegie Mellon University - Blacklist Ecosystem Analysis : 2016
Update