Les cyber attaques évoluent plus rapidement que les systèmes de défense traditionnels

Comme le démontrent les actualités récentes (paralysie de la chaine TV5 Monde, vol de données bancaires chez Sony, révélations de Wikileaks, etc.), la sécurité des systèmes d’information n’est pas infaillible. Les cyber attaques sont plus nombreuses, plus complexes et coûtent de plus en plus cher aux entreprises. L’enquête « 2014 Global Report on the Cost of Cyber Crime », de Ponemon Institute commandée par HP Enterprise Security, montre une augmentation de 10.4% de l’impact financier des cyber attaques pour l’année 2014.
Les systèmes de défense classiques sont de moins en moins adaptés aux attaques en évolution permanente. Ils consistent principalement en l’analyse post mortem des événements visibles qui ont, ou auraient pu, avoir un impact sur la sécurité. Ce fonctionnement entraîne dans la majorité des cas un retard sur les attaquants.

Dans le cas d’une attaque non référencée, les systèmes classiques impliquent un processus de réaction long, incluant la détection de l’attaque pour en identifier sa nature, l’identification de la vulnérabilité exploitée, le développement d’une solution adaptée voire, dans le cas d’une faille progicielle, l’attente du correctif de l’éditeur. Enfin, le déploiement en production de la solution peut être long.

Ces délais peuvent laisser un système d’information vulnérable de plusieurs jours à plusieurs mois (cf. 21.5 millions de données bancaires de fonctionnaires américains volées, début juin 2015, sur une attaque de trois mois).

Si les systèmes traditionnels apportent une solution efficace aux attaques les plus courantes (virus, vers et chevaux de Troie), ils sont trop souvent démunis face aux attaques internes et non répertoriées. De plus lorsqu’une attaque aboutit, les processus d’enquête peuvent s’avérer complexes et incomplets laissant des failles ou des fichiers infectés au sein du SI. Les attaques ne peuvent plus être empêchées qu’elles soient internes ou externes, la seule stratégie viable est de se concentrer sur une détection au plus tôt.

L’approche adaptative de la cyber sécurité, c’est l’acceptation de la faillibilité des systèmes traditionnels

Face à ce constat, de nouvelles solutions de défense adaptatives émergent qui, sans attendre l’occurrence d’un événement mettant en cause la sécurité, identifient les signes précurseurs d’un risque, et mettent en place les défenses nécessaires. Ces approches adaptatives permettent de superviser les mécanismes de sécurité afin de détecter des actions suspectes. Elles s’accompagnent de processus adaptés de cyber veille, et d’alerte ou d’intervention en réaction à incident, et d’amélioration continue. Ces processus, répondant à un schéma précis et défini lors du déploiement de la solution, permettent d’enrayer une attaque avant qu’elle n’aboutisse.

L’approche adaptative repose sur un ensemble de mesures autant techniques, par la mise en place de puits de données, que fonctionnelles, par la mise en place de processus de crise agile. En centralisant ces informations au sein d’un SIEM et les corrélant aux scanners de vulnérabilités, les solutions adaptatives permettent de calculer les indicateurs de compromissions (IOC). Les IOC et alertes du SIEM doivent être exploités par des équipes spécialisées d’experts en sécurité qui peuvent aller jusqu’à déclencher un endiguement lorsqu’une attaque est avérée.

L’émergence de ce type de défense correspond à une évolution des mœurs dans le milieu de la cyber défense. C’est un changement de philosophie dans la lutte contre des menaces en évolution constante. Cette approche de la sécurité sait qu’il est impossible de complètement sécuriser un système d’information dans la durée. Elle reconnaît la faillibilité de la sécurité informatique traditionnelle. Elle vise donc à détecter le plus tôt possible les inévitables signaux d’attaque afin de pouvoir réagir le plus rapidement possible.

Dans la pratique, l’implémentation de ces systèmes est soumise à des contraintes. Un système d’information peut en effet générer plusieurs dizaines de millions d’événements par heure. Les ressources machines et humaines étant limitées, il est nécessaire d’épurer ces informations avant de les traiter. Une approche risque détermine les informations essentielles sur les systèmes émetteurs en fonction de la criticité et de la sensibilité des ressources cibles. Elle permet de sélectionner les événements en lien avec les systèmes critiques et d’écarter ceux qui ont peu de valeur ajoutée à la sécurité du système d’information. Cette différentiation permet aux équipes spécialisées de focaliser les défenses sur les systèmes critiques et sur les attaques avancées.

Les sociétés les plus agiles seront les mieux protégées

Le monde de la cyber sécurité doit s’adapter au nouveau panorama des cyber menaces. Auparavant simples et exécutées isolément, les attaques peuvent aujourd’hui être plus complexes et provenir d’organisations importantes. L’accès aux techniques les plus sophistiquées s’est par ailleurs simplifié. En effet, on observe que la forte recrudescence des attaques complexes est en partie due à la simplification d’accès du public au Dark-Web (plate-forme de revente de code malicieux, d’attaques non répertoriées, etc.). L’approche traditionnelle préventive de la cyber sécurité, aujourd’hui intégrée dans les entreprises, n’est plus un critère de différentiation mais une simple question de survie. Pour aller plus loin dans la lutte contre les cyber menaces, investir dans une défense adaptative permet d’affirmer la sécurité de son business et représente un gage de qualité et de confiance vis-à-vis des clients.

Dans un contexte de cyber criminalité de plus en plus agressif, avec une demande de sécurité de plus en plus importante, combien de temps faudra-t-il aux approches adaptatives pour devenir le nouveau standard de sécurité ?