Défense offensive
30/12/23 16:17
La défense offensive est généralement associée aux opérations militaires et à la sécurité nationale, plutôt qu'à la cybersécurité. En cybersécurité, on parle plus couramment de défense active ou défense proactive plutôt mais cela ne correspond pas à la même approche.
Il y a d’ailleurs une confusion en ce qui concerne le terme de défense active qui peut être utilisé comme synonyme de défense offensive, mais qui désigne aussi dans certain contexte des environnements avec une approche optimisée des phases de détection et réponse et qui intègre la recherche de vulnérabilités effectives en amont. La notion de défense offensive en cybersécurité fait référence à une approche stratégique où une organisation engage et neutralise les menaces potentielles avant qu'elles ne puissent causer des dommages. Il s’agit d’une approche très différente de ce qui se fait habituellement où l’organisation concernée va se concentrer non plus sur l’attaque, mais sur l’attaquant. L’idée est tout simplement de contre attaquer avec un objectif double : l’agent initial de la menace va devoir se défendre et risque certainement d’être moins actif, voire plus actif du tout, sur le côté offensif. Le second objectif est d’infliger des dégâts suffisamment importants à l’attaquant initial pour que cela soit dissuasif de continuer ou de retenter une nouvelle attaque. Le concept est simple mais irréaliste pour une organisation ou une entreprise. Les deux principaux freins à cette approche sont d’abord la difficulté ou l’impossibilité de l’attribution prouvée de manière irréfutable et ensuite le risque d’aggraver la situation en augmentant les conséquences directes ou indirectes sur le système d’information de la victime. Qui plus est, le fait de mener une action offensive contre un système de traitement de l’information sans y être autorisé et ce même pour se défendre est illégal et constitue un délit. Ce ne sont évidemment pas les seuls points de blocage de cette conduite, mais ils sont suffisamment importants pour couper court à cette pratique. La conduite qui voudrait utiliser une défense offensive ou plus précisément une contre-offensive en cas d’attaque présuppose trois points importants comme acquis :
· l’organisation est capable d’identifier de manière fiable l’agresseur sans doute raisonnable ;
· elle estime pouvoir soutenir une contre-attaque sans aggraver les conséquences sur son propre système d’information ;
· elle considère être capable d’infliger suffisamment de dégâts à l’adversaire pour qu’à minima il cesse son offensive et idéalement qu’il se détourne définitivement d’elle.
Dans la réalité, il est rarement possible d’évaluer ces points de manière nette et tranchée. Le dernier point reste notamment une interrogation forte dans le milieu cyber : la notion de dissuasion est-elle applicable au cyberespace et si oui selon quelle doctrine. Il y a beaucoup de discussion autour de ce sujet et, à l’heure actuelle, il ne semble pas se dégager de consensus sur le sujet.
Dans le domaine général, lorsque la dissuasion est évoquée, c’est qu’il y a conflit potentiel. Stratégiquement, il s’agit de se défendre d’une agression et donc de disposer d’un outil défensif. Mais il s’agit aussi de pouvoir riposter et donc de disposer d’un outil offensif. Dans le domaine stratégique classique, il n’y a pas de spécialisation en général, les mêmes ressources peuvent défendre ou contre-attaquer selon leur placement et mouvement. Mais dans un système de dissuasion, notamment la dissuasion nucléaire, le dispositif défensif est complétement différent du dispositif offensif, même si celui-ci n’est pas destiné à une utilisation offensive proprement dite, l’arme restant stratégiquement défensive par doctrine.
La dissuasion amène aussi la notion de dissymétrie : la riposte qui serait portée provoquerait plus de dégâts à l’adversaire que l’attaque qu’il tiendrait. Dans le monde cyber, la défense est une nécessité évidente mais la riposte est délicate. Et ici aussi le dispositif défensif ne peut être utiliser à des fins offensives en tout cas pas directement ni en l’état. Il y a de nombreuses raisons à la difficulté de la riposte et notamment parce qu’aucune des étapes constituant la chaine de réplique n’est à priori simple à évaluer ou mettre en œuvre : connaissance de l’attaque, mesure de son intensité, évaluation des dégâts, identification de l’agresseur, constitution des moyens de la riposte, exécution de la contre-attaque. Finalement, le sujet de la cyber-dissuasion est complexe du fait du contexte multiple de son domaine d’application : le cyberespace. Il n’y a pas de réponse unique et continue et de nombreux pays ont fait des choix différents sans qu’il y ait un consensus global et sans que l’efficacité soit prouvée. Il est donc encore plus complexe pour les entreprises et certainement hors de leur portée.
Pourtant, la sophistication des attaques, la pression croissante des acteurs de la menace sur des entreprises et des organisations de toute taille et de tout secteur fait qu’aujourd’hui la question est légitimement de plus en plus souvent évoquée. Il est régulièrement fait référence au ‘hack back’, probablement plus vendeur que la défense offensive ou la contre-attaque, mais il s’agit bien de la même chose. A mon sens, ce type de pratique est plutôt réservée, à court et moyen terme, à des institutions nationales ou des états. Ne serait-ce que parce qu’une atteinte à des systèmes de traitement de l’information, même pour se défendre, reste un délit. Seuls les états ou les institutions liées aux états pourraient alors faire usage de la force légitime dans le cyberespace comme c’est le cas dans d’autres champs opératifs. Et puis il y a aussi un point important : l’objectif d’une entreprise ou organisation n’est généralement pas de rendre la justice ou d’assainir le cyberespace, même si l’image peut être tentante. Dans la vraie vie, lorsqu’une entreprise est touchée par une cyberattaque, son objectif premier est de réduire au minimum les conséquences sur son activité. Il est vital pour elle de reprendre une activité en mode nominal le plus rapidement possible : continuer ou relancer la production, assurer la continuité des activité commerciales, permettre une communication fluide et efficace avec les clients et fournisseurs. La possibilité d’infliger des dégâts à l’attaquant n’est pas en général dans le top des actions à mener. D’autant plus qu’il existe un risque non négligeable qu’une contre-attaque mal menée ou insuffisamment préparée aggrave la situation plutôt qu’elle ne résolve le problème.
L’idée est séduisante, mais je doute qu’elle soit une vraie voie d’évolution de la cyberdéfense pour la très grande majorité des nos entreprises et organisations. Cela reste pour l’instant l’apanage des organisations étatiques et il est fort probable que cela n’évolue pas dans un futur proche.
Il y a d’ailleurs une confusion en ce qui concerne le terme de défense active qui peut être utilisé comme synonyme de défense offensive, mais qui désigne aussi dans certain contexte des environnements avec une approche optimisée des phases de détection et réponse et qui intègre la recherche de vulnérabilités effectives en amont. La notion de défense offensive en cybersécurité fait référence à une approche stratégique où une organisation engage et neutralise les menaces potentielles avant qu'elles ne puissent causer des dommages. Il s’agit d’une approche très différente de ce qui se fait habituellement où l’organisation concernée va se concentrer non plus sur l’attaque, mais sur l’attaquant. L’idée est tout simplement de contre attaquer avec un objectif double : l’agent initial de la menace va devoir se défendre et risque certainement d’être moins actif, voire plus actif du tout, sur le côté offensif. Le second objectif est d’infliger des dégâts suffisamment importants à l’attaquant initial pour que cela soit dissuasif de continuer ou de retenter une nouvelle attaque. Le concept est simple mais irréaliste pour une organisation ou une entreprise. Les deux principaux freins à cette approche sont d’abord la difficulté ou l’impossibilité de l’attribution prouvée de manière irréfutable et ensuite le risque d’aggraver la situation en augmentant les conséquences directes ou indirectes sur le système d’information de la victime. Qui plus est, le fait de mener une action offensive contre un système de traitement de l’information sans y être autorisé et ce même pour se défendre est illégal et constitue un délit. Ce ne sont évidemment pas les seuls points de blocage de cette conduite, mais ils sont suffisamment importants pour couper court à cette pratique. La conduite qui voudrait utiliser une défense offensive ou plus précisément une contre-offensive en cas d’attaque présuppose trois points importants comme acquis :
· l’organisation est capable d’identifier de manière fiable l’agresseur sans doute raisonnable ;
· elle estime pouvoir soutenir une contre-attaque sans aggraver les conséquences sur son propre système d’information ;
· elle considère être capable d’infliger suffisamment de dégâts à l’adversaire pour qu’à minima il cesse son offensive et idéalement qu’il se détourne définitivement d’elle.
Dans la réalité, il est rarement possible d’évaluer ces points de manière nette et tranchée. Le dernier point reste notamment une interrogation forte dans le milieu cyber : la notion de dissuasion est-elle applicable au cyberespace et si oui selon quelle doctrine. Il y a beaucoup de discussion autour de ce sujet et, à l’heure actuelle, il ne semble pas se dégager de consensus sur le sujet.
Dans le domaine général, lorsque la dissuasion est évoquée, c’est qu’il y a conflit potentiel. Stratégiquement, il s’agit de se défendre d’une agression et donc de disposer d’un outil défensif. Mais il s’agit aussi de pouvoir riposter et donc de disposer d’un outil offensif. Dans le domaine stratégique classique, il n’y a pas de spécialisation en général, les mêmes ressources peuvent défendre ou contre-attaquer selon leur placement et mouvement. Mais dans un système de dissuasion, notamment la dissuasion nucléaire, le dispositif défensif est complétement différent du dispositif offensif, même si celui-ci n’est pas destiné à une utilisation offensive proprement dite, l’arme restant stratégiquement défensive par doctrine.
La dissuasion amène aussi la notion de dissymétrie : la riposte qui serait portée provoquerait plus de dégâts à l’adversaire que l’attaque qu’il tiendrait. Dans le monde cyber, la défense est une nécessité évidente mais la riposte est délicate. Et ici aussi le dispositif défensif ne peut être utiliser à des fins offensives en tout cas pas directement ni en l’état. Il y a de nombreuses raisons à la difficulté de la riposte et notamment parce qu’aucune des étapes constituant la chaine de réplique n’est à priori simple à évaluer ou mettre en œuvre : connaissance de l’attaque, mesure de son intensité, évaluation des dégâts, identification de l’agresseur, constitution des moyens de la riposte, exécution de la contre-attaque. Finalement, le sujet de la cyber-dissuasion est complexe du fait du contexte multiple de son domaine d’application : le cyberespace. Il n’y a pas de réponse unique et continue et de nombreux pays ont fait des choix différents sans qu’il y ait un consensus global et sans que l’efficacité soit prouvée. Il est donc encore plus complexe pour les entreprises et certainement hors de leur portée.
Pourtant, la sophistication des attaques, la pression croissante des acteurs de la menace sur des entreprises et des organisations de toute taille et de tout secteur fait qu’aujourd’hui la question est légitimement de plus en plus souvent évoquée. Il est régulièrement fait référence au ‘hack back’, probablement plus vendeur que la défense offensive ou la contre-attaque, mais il s’agit bien de la même chose. A mon sens, ce type de pratique est plutôt réservée, à court et moyen terme, à des institutions nationales ou des états. Ne serait-ce que parce qu’une atteinte à des systèmes de traitement de l’information, même pour se défendre, reste un délit. Seuls les états ou les institutions liées aux états pourraient alors faire usage de la force légitime dans le cyberespace comme c’est le cas dans d’autres champs opératifs. Et puis il y a aussi un point important : l’objectif d’une entreprise ou organisation n’est généralement pas de rendre la justice ou d’assainir le cyberespace, même si l’image peut être tentante. Dans la vraie vie, lorsqu’une entreprise est touchée par une cyberattaque, son objectif premier est de réduire au minimum les conséquences sur son activité. Il est vital pour elle de reprendre une activité en mode nominal le plus rapidement possible : continuer ou relancer la production, assurer la continuité des activité commerciales, permettre une communication fluide et efficace avec les clients et fournisseurs. La possibilité d’infliger des dégâts à l’attaquant n’est pas en général dans le top des actions à mener. D’autant plus qu’il existe un risque non négligeable qu’une contre-attaque mal menée ou insuffisamment préparée aggrave la situation plutôt qu’elle ne résolve le problème.
L’idée est séduisante, mais je doute qu’elle soit une vraie voie d’évolution de la cyberdéfense pour la très grande majorité des nos entreprises et organisations. Cela reste pour l’instant l’apanage des organisations étatiques et il est fort probable que cela n’évolue pas dans un futur proche.