Cyberdéfense
17/07/22 14:23
Pour continuer et pour aborder les points avec une certaine logique, le concept suivant que je souhaite aborder est celui de cyberdéfense. Pour avoir une première définition très courte et synthétique, je dirais que la cyberdéfense est le moyen d’obtenir la cybersécurité. La cybersécurité étant un état, la cyberdéfense est l’ensemble des moyens permettant d’atteindre et de maintenir cet état.
La cyberdéfense a d’abord été vue comme l'ensemble des mesures permettant à un État de se défendre dans le cyberespace., notamment les infrastructures et systèmes d’information jugés essentiels. Le sens a depuis évolué, et aujourd’hui, la cybersécurité n’est pas réservée aux États, et du coup la cyberdéfense ne l’est pas non plus.
La cyberdéfense est l’ensemble des moyens mis en œuvre par une organisation afin d’assurer sa propre cybersécurité. Celle-ci est devenue un enjeu stratégique au même titre que les ressources humaines, la trésorerie, la communication et bien d’autres domaines encore. Et si elle concerne en premier lieu la sécurité des systèmes d’information et plus précisément des données de l’organisation, elle dépasse largement ce cadre en matière de champ d’action. La cyberdéfense n’agit pas que dans le champ technologique et de nombreux domaines sont concernés, notamment et comme dans beaucoup d’activité, le facteur humain est essentiel. La cyberdéfense est avant tout une posture, et pour être efficace elle doit être menée à travers une doctrine définie, connue et claire. Cela va de l’acquisition et rétention des talents en passant par la sensibilisation et acculturation cyber des acteurs de l’organisation pour le domaine des ressources humaines. Il faudra aussi définir des procédures d’usage, les technologies à déployer pour protéger, détecter et réagir, les règles de gouvernance et de gestion opérationnelle. La cyberdéfense interagit étroitement également avec les plans de reprise et de continuité d’activité. Enfin il y a également tout un ensemble de mesures de contrôle comme par exemple, les audits, les tests d’intrusion, cela peut aller jusqu’au bug bounty par exemple mais aussi les mesures de contrôle de conformité aux différentes exigences générales mais aussi spécifiques au secteur d’activité. Souvent réduite aux mesures techniques déployées afin de réduire l’exposition aux risques cyber, cette vision est beaucoup trop simpliste et ne permet pas une réduction suffisante des risques. Bien que nécessaires et indispensables, les technologies de défenses, tout en faisant partie intégrante de la cyberdéfense, n’en constitue pas l’unique composante.
Ainsi nous pourrions définir la cyberdéfense comme l’ensemble des processus permettant la réduction des risques cyber. Cela inclus donc, mais pas uniquement la protection des systèmes informatiques, des réseaux et des données contre les attaques et les menaces en ligne. Elle comprend des mesures visant à prévenir, à identifier, à détecter et à répondre aux cyberattaques, ainsi qu’à assurer la continuité des opérations en cas de perturbation.
La cyberdéfense constitue donc une doctrine qui implique plusieurs stratégies de sécurité, notamment :
· La prévention : cela implique des mesures proactives visant à réduire les risques de cyberattaques. Dans cette catégorie, nous retrouverons bien entendu les politiques de sécurité informatique, la mise en place des contrôles d'accès, de pare-feux et de filtrage divers pour empêcher les accès non désirés aux systèmes d’information. Mais aussi la sensibilisation des collaborateurs, l’acculturation aux bonnes pratiques, les règles d’usage ainsi que les moyens de contrôles de ces procédés (audit de sécurité, pentest, audit de conformité…).
· La détection : il s'agit de la surveillance des systèmes informatiques pour détecter toute activité suspecte ou malfaisante. Cela peut inclure la surveillance des journaux d'événements, la surveillance des réseaux et l'analyse des données. Aujourd’hui cette surveillante est souvent (mais pas exclusivement) basée sur des modèles élaborés par des technologies de machine learning. Une fois le modèle constitué par apprentissage, lorsque le comportement constaté sort du modèle, il est raisonnable de penser qu’il est anormal voire que le système surveillé subit une attaque ou est déjà compromis. Évidemment, cette détection doit être rapide, plus tôt la primo-infection est détectée et plus simple et rapide sera le retour à l’état normal et moins les conséquences seront importantes.
· La réponse : une fois qu'une cyberattaque est détectée, une réponse rapide est essentielle pour minimiser les dommages et rétablir les systèmes affectés. C’est similaire à la phase précédente, plus elle est rapide et moins les conséquences sont importantes et plus la tâche est facile et instantanée. Généralement, des plans de réponse aux incidents, des fiches reflexes sont mis en place pour assurer une réponse efficace.
· La récupération : une fois que les systèmes ont été restaurés, les organisations doivent évaluer les dommages et prendre des mesures pour renforcer leur sécurité informatique afin de prévenir de futures cyberattaques. Il s’agit de capitaliser sur l’expérience afin qu’elle ne puisse se reproduire, en tout cas dans des conditions et avec des méthodes similaires.
Pour résumer et simplifier, nous pourrions dire que la cyberdéfense est un ensemble de solutions techniques, de procédures, de règles d’usage et de compétences permettant de réduire l’exposition aux risques de l’organisation dont elle dépend.
Alors que les cyberattaques deviennent de plus en plus sophistiquées et répandues, la cyberdéfense doit être pensée comme une doctrine essentielle et transverse à toute l’organisation. Pour faire un parallèle avec le monde de la Défense, elle doit être multi-champs et multi-milieux (MDMC).
La cyberdéfense a d’abord été vue comme l'ensemble des mesures permettant à un État de se défendre dans le cyberespace., notamment les infrastructures et systèmes d’information jugés essentiels. Le sens a depuis évolué, et aujourd’hui, la cybersécurité n’est pas réservée aux États, et du coup la cyberdéfense ne l’est pas non plus.
La cyberdéfense est l’ensemble des moyens mis en œuvre par une organisation afin d’assurer sa propre cybersécurité. Celle-ci est devenue un enjeu stratégique au même titre que les ressources humaines, la trésorerie, la communication et bien d’autres domaines encore. Et si elle concerne en premier lieu la sécurité des systèmes d’information et plus précisément des données de l’organisation, elle dépasse largement ce cadre en matière de champ d’action. La cyberdéfense n’agit pas que dans le champ technologique et de nombreux domaines sont concernés, notamment et comme dans beaucoup d’activité, le facteur humain est essentiel. La cyberdéfense est avant tout une posture, et pour être efficace elle doit être menée à travers une doctrine définie, connue et claire. Cela va de l’acquisition et rétention des talents en passant par la sensibilisation et acculturation cyber des acteurs de l’organisation pour le domaine des ressources humaines. Il faudra aussi définir des procédures d’usage, les technologies à déployer pour protéger, détecter et réagir, les règles de gouvernance et de gestion opérationnelle. La cyberdéfense interagit étroitement également avec les plans de reprise et de continuité d’activité. Enfin il y a également tout un ensemble de mesures de contrôle comme par exemple, les audits, les tests d’intrusion, cela peut aller jusqu’au bug bounty par exemple mais aussi les mesures de contrôle de conformité aux différentes exigences générales mais aussi spécifiques au secteur d’activité. Souvent réduite aux mesures techniques déployées afin de réduire l’exposition aux risques cyber, cette vision est beaucoup trop simpliste et ne permet pas une réduction suffisante des risques. Bien que nécessaires et indispensables, les technologies de défenses, tout en faisant partie intégrante de la cyberdéfense, n’en constitue pas l’unique composante.
Ainsi nous pourrions définir la cyberdéfense comme l’ensemble des processus permettant la réduction des risques cyber. Cela inclus donc, mais pas uniquement la protection des systèmes informatiques, des réseaux et des données contre les attaques et les menaces en ligne. Elle comprend des mesures visant à prévenir, à identifier, à détecter et à répondre aux cyberattaques, ainsi qu’à assurer la continuité des opérations en cas de perturbation.
La cyberdéfense constitue donc une doctrine qui implique plusieurs stratégies de sécurité, notamment :
· La prévention : cela implique des mesures proactives visant à réduire les risques de cyberattaques. Dans cette catégorie, nous retrouverons bien entendu les politiques de sécurité informatique, la mise en place des contrôles d'accès, de pare-feux et de filtrage divers pour empêcher les accès non désirés aux systèmes d’information. Mais aussi la sensibilisation des collaborateurs, l’acculturation aux bonnes pratiques, les règles d’usage ainsi que les moyens de contrôles de ces procédés (audit de sécurité, pentest, audit de conformité…).
· La détection : il s'agit de la surveillance des systèmes informatiques pour détecter toute activité suspecte ou malfaisante. Cela peut inclure la surveillance des journaux d'événements, la surveillance des réseaux et l'analyse des données. Aujourd’hui cette surveillante est souvent (mais pas exclusivement) basée sur des modèles élaborés par des technologies de machine learning. Une fois le modèle constitué par apprentissage, lorsque le comportement constaté sort du modèle, il est raisonnable de penser qu’il est anormal voire que le système surveillé subit une attaque ou est déjà compromis. Évidemment, cette détection doit être rapide, plus tôt la primo-infection est détectée et plus simple et rapide sera le retour à l’état normal et moins les conséquences seront importantes.
· La réponse : une fois qu'une cyberattaque est détectée, une réponse rapide est essentielle pour minimiser les dommages et rétablir les systèmes affectés. C’est similaire à la phase précédente, plus elle est rapide et moins les conséquences sont importantes et plus la tâche est facile et instantanée. Généralement, des plans de réponse aux incidents, des fiches reflexes sont mis en place pour assurer une réponse efficace.
· La récupération : une fois que les systèmes ont été restaurés, les organisations doivent évaluer les dommages et prendre des mesures pour renforcer leur sécurité informatique afin de prévenir de futures cyberattaques. Il s’agit de capitaliser sur l’expérience afin qu’elle ne puisse se reproduire, en tout cas dans des conditions et avec des méthodes similaires.
Pour résumer et simplifier, nous pourrions dire que la cyberdéfense est un ensemble de solutions techniques, de procédures, de règles d’usage et de compétences permettant de réduire l’exposition aux risques de l’organisation dont elle dépend.
Alors que les cyberattaques deviennent de plus en plus sophistiquées et répandues, la cyberdéfense doit être pensée comme une doctrine essentielle et transverse à toute l’organisation. Pour faire un parallèle avec le monde de la Défense, elle doit être multi-champs et multi-milieux (MDMC).