Protection et détection
02/10/23 10:46
La cybersécurité n’est pas un concept très nouveau même s’il n’a pas toujours été décliné sous ce nom et des stratégies de cyberdéfense ont été déployées depuis longtemps même si elles étaient réduites et ne portaient pas ce nom. Au départ il s’agissait généralement d’approches de type périmétriques, à la mode Vauban, le système d’information était une forteresse qu’il fallait défendre d’agresseurs externes mal intentionnés. Et si l’on fait abstraction des attaquants internes, cela fonctionnait car à ce moment il était possible de considérer certaines zones comme étant de confiance et donc d’en protéger le périmètre puisque les attaques ne pouvaient venir que du côté exposé.
Mais lorsque le système d’information devient hyper-distribué et hyperconnecté, mettant en œuvre des infrastructures publiques, avec des utilisateurs qui accèdent aux ressources à partir d’environnements non maitrisés, les frontières de celui-ci deviennent floues et les zones de confiances disparaissent.
La première conséquence de cette évolution, est une exposition plus forte et une maitrise plus difficile de la cybersécurité. La protection seule n’est plus suffisante, car il devient impossible de garantir qu’aucun élément du système d’information ne sera jamais compromis. N’agir que sur la protection pour des zones qui sont potentiellement compromises ne permet pas d’assurer la cybersécurité du système d’information. Il faut intégrer une autre dimension, la détection. Ces notions de perte de zone de confiance sont la base de concepts comme le zero trust ou la défense en profondeur qui ne sont pas non plus fondamentalement nouvelles et sur lesquelles je reviendrai. Bien que moins confortable intellectuellement et opérationnellement, la détection est aujourd’hui une composante fondamentale de la cyberdéfense. Moins confortable parce qu’effectivement le défenseur admet que des parties de son système d’information peuvent être compromises, plus ou moins profondément mais néanmoins essentielle car compromission ne veut pas systématiquement dire attaque aboutie.
La notion de détection va de pair avec celle de cyber kill chain. Et si j’arrive à détecter un élément compromis je peux ensuite agir pour éliminer cette compromission et ainsi mettre en échec l’attaque. C’est une notion qui n’est pas naturelle pour les non-initiés au domaine cyber et très souvent la tendance dans des contextes moins expérimentés est de focaliser uniquement sur la protection. Considérant qu’une compromission, même peu importante, serait un échec. Évidemment tout l’enjeu est de détecter et de réagir au plus tôt afin de réduire au minimum les charges de remise à l’état nominal du système d’information et ce faisant de supprimer la menace. Cette notion de détection précoce est fondamentale, plus tôt une compromission est découverte, plus rapide et simple sera la remise à état nominal. De nombreux chiffres circulent sur le délai moyen de détection après la primo-infection, je ne me risquerais pas à en donner ici mais ils sont en général élevés : plusieurs jours à minima voire bien plus dans certains cas.
Aujourd’hui cette notion de détection est le terrain de jeu de très nombreuses solutions, toutes celles notamment ayant l’acronyme DR dans leur nom. La très grande majorité de ces solutions appliquent les mêmes principes généraux : à partir d’un ensemble de données collectées dans un champ opérationnel, des algorithmes basés sur des technologies de machine learning élaborent des modèles de fonctionnement et d’usage. Il s’agit d’analyse comportementale, lorsque le comportement est déviant par rapport au modèle la probabilité d’une compromission existe et le système pourra alerter voire réagir automatiquement si la probabilité est élevée. Si la modélisation est appliquée au champ opérationnel des postes de travail et des utilisateurs il s’agit d’EDR, si ce sont les flux d’échanges réseau il s’agit de NDR, et si le champ est hétérogène il s’agit de XDR. Mais au-delà de l’outillage, l’objectif premier est de disposer d’une capacité de détection des compromissions et de réaction, le plus souvent automatisable. Nous le voyons ici, la détection ne s’entend que si elle est associée à une réponse, une réaction.
La détection est cruciale mais la simple connaissance d’une compromission ne permet pas d’en annuler ou d’en réduire les effets, il faut agir et ce le plus rapidement possible. En fait c’est le temps total qui est important, celui nécessaire pour détecter une menace augmenté du temps d’élimination de cette dernière. En effet c’est durant ce temps que l’acteur de la menace pourra potentiellement renforcer son emprise et passer aux étapes suivantes. Dans certains cas, la réaction peut être simple et rapide dans un premier temps, par exemple, sur la détection d’un poste de travail ayant subi une primo infection, la solution rapide et efficace est de mettre l’équipement en question en quarantaine, notamment dans un VLAN de remédiation. La menace immédiate est éliminée et le personnel a du temps pour remettre le poste dans son état initial, par exemple en le remasterisant.
L’ensemble détection et réponse est aujourd’hui un facteur essentiel dans la lutte contre les menaces mais ne se substitue pas à la protection qui reste toujours importante, c’est en conjuguant les deux approches qu’il est possible de renforcer les capacités de cyberdéfense d’une organisation. D’une manière générale, et au-delà des seules notions de protection et de détection, le domaine de la cyberdéfense agit dans un contexte de mesures et contre-mesures, son arsenal est donc multiple, adaptable et évolutif et en aucun cas ne se borne à une approche unique et statique.
Mais lorsque le système d’information devient hyper-distribué et hyperconnecté, mettant en œuvre des infrastructures publiques, avec des utilisateurs qui accèdent aux ressources à partir d’environnements non maitrisés, les frontières de celui-ci deviennent floues et les zones de confiances disparaissent.
La première conséquence de cette évolution, est une exposition plus forte et une maitrise plus difficile de la cybersécurité. La protection seule n’est plus suffisante, car il devient impossible de garantir qu’aucun élément du système d’information ne sera jamais compromis. N’agir que sur la protection pour des zones qui sont potentiellement compromises ne permet pas d’assurer la cybersécurité du système d’information. Il faut intégrer une autre dimension, la détection. Ces notions de perte de zone de confiance sont la base de concepts comme le zero trust ou la défense en profondeur qui ne sont pas non plus fondamentalement nouvelles et sur lesquelles je reviendrai. Bien que moins confortable intellectuellement et opérationnellement, la détection est aujourd’hui une composante fondamentale de la cyberdéfense. Moins confortable parce qu’effectivement le défenseur admet que des parties de son système d’information peuvent être compromises, plus ou moins profondément mais néanmoins essentielle car compromission ne veut pas systématiquement dire attaque aboutie.
La notion de détection va de pair avec celle de cyber kill chain. Et si j’arrive à détecter un élément compromis je peux ensuite agir pour éliminer cette compromission et ainsi mettre en échec l’attaque. C’est une notion qui n’est pas naturelle pour les non-initiés au domaine cyber et très souvent la tendance dans des contextes moins expérimentés est de focaliser uniquement sur la protection. Considérant qu’une compromission, même peu importante, serait un échec. Évidemment tout l’enjeu est de détecter et de réagir au plus tôt afin de réduire au minimum les charges de remise à l’état nominal du système d’information et ce faisant de supprimer la menace. Cette notion de détection précoce est fondamentale, plus tôt une compromission est découverte, plus rapide et simple sera la remise à état nominal. De nombreux chiffres circulent sur le délai moyen de détection après la primo-infection, je ne me risquerais pas à en donner ici mais ils sont en général élevés : plusieurs jours à minima voire bien plus dans certains cas.
Aujourd’hui cette notion de détection est le terrain de jeu de très nombreuses solutions, toutes celles notamment ayant l’acronyme DR dans leur nom. La très grande majorité de ces solutions appliquent les mêmes principes généraux : à partir d’un ensemble de données collectées dans un champ opérationnel, des algorithmes basés sur des technologies de machine learning élaborent des modèles de fonctionnement et d’usage. Il s’agit d’analyse comportementale, lorsque le comportement est déviant par rapport au modèle la probabilité d’une compromission existe et le système pourra alerter voire réagir automatiquement si la probabilité est élevée. Si la modélisation est appliquée au champ opérationnel des postes de travail et des utilisateurs il s’agit d’EDR, si ce sont les flux d’échanges réseau il s’agit de NDR, et si le champ est hétérogène il s’agit de XDR. Mais au-delà de l’outillage, l’objectif premier est de disposer d’une capacité de détection des compromissions et de réaction, le plus souvent automatisable. Nous le voyons ici, la détection ne s’entend que si elle est associée à une réponse, une réaction.
La détection est cruciale mais la simple connaissance d’une compromission ne permet pas d’en annuler ou d’en réduire les effets, il faut agir et ce le plus rapidement possible. En fait c’est le temps total qui est important, celui nécessaire pour détecter une menace augmenté du temps d’élimination de cette dernière. En effet c’est durant ce temps que l’acteur de la menace pourra potentiellement renforcer son emprise et passer aux étapes suivantes. Dans certains cas, la réaction peut être simple et rapide dans un premier temps, par exemple, sur la détection d’un poste de travail ayant subi une primo infection, la solution rapide et efficace est de mettre l’équipement en question en quarantaine, notamment dans un VLAN de remédiation. La menace immédiate est éliminée et le personnel a du temps pour remettre le poste dans son état initial, par exemple en le remasterisant.
L’ensemble détection et réponse est aujourd’hui un facteur essentiel dans la lutte contre les menaces mais ne se substitue pas à la protection qui reste toujours importante, c’est en conjuguant les deux approches qu’il est possible de renforcer les capacités de cyberdéfense d’une organisation. D’une manière générale, et au-delà des seules notions de protection et de détection, le domaine de la cyberdéfense agit dans un contexte de mesures et contre-mesures, son arsenal est donc multiple, adaptable et évolutif et en aucun cas ne se borne à une approche unique et statique.