Protection, détection, réaction
Bruce Schneier est depuis plus de vingt ans un acteur et un observateur majeur du monde de la sécurité informatique. Il est l’auteur aussi bien d’algorithmes et de programmes de chiffrement que d’ouvrages scientifiques et pédagogiques. En novembre 2014 il a publié sur son blog un article où il tire les conséquences des évolutions récentes du monde des attaques et de la sécurité, The Future of Incident Response.
La sécurité, nous rappelle-t-il, procède d’une combinaison de protection, de détection et de réaction. Les années 1990 virent l’émergence de la protection, avec une floraison d’entreprises et de produits destinés à protéger entreprises et particuliers. La mode de la décennie 2000 fut à la détection des attaques. En cette année 2015 c’est la réaction aux incidents (Incident Response) qui tient le devant de la scène (ce qui ne signifie pas, loin de là, qu’il faille renoncer à la protection et à la détection !).
Quels sont les motifs de cet engouement récent ? Bruce Schneier en discerne trois :
– nous (entreprises et particuliers) avons totalement perdu le contrôle de notre environnement informatique : nos données et nos traitements sont dans le Cloud, c’est-à-dire on ne sait pas où, les employés accèdent au Système d’information (SI) de leur entreprise avec leurs propres appareils informatiques dont nul ne sait comment ils fonctionnent (surtout pas leurs propriétaires), ce malgré les escarmouches d’arrière-garde de la hiérarchie, et ces phénomènes ne feront que s’accentuer ;
– les attaques dans le cyberespace sont de plus en plus perfectionnées et furtives, par exemple avec les programmes malfaisants furtifs et persistants (APT, Advanced Persistent Threat) ; il y a longtemps qu’elles ne sont plus principalement ludiques, et si la simple extorsion de fonds est toujours présente il faut désormais lui ajouter les tentatives ciblées de déstabilisation d’entreprises et d’États-nations ;
– les entreprises et les administrations, aujourd’hui comme hier, n’investissent pas suffisamment dans la protection et dans la détection, et la réaction aux incidents (qui surviennent de ce fait) doit prendre le relais.
Amplification du facteur humain
D’un point de vue organisationnel il faut envisager la sécurité non pas comme un produit mais comme une activité, afin de ne pas entretenir l’illusion que l’achat de tel ou tel dispositif matériel ou logiciel pourrait tenir lieu de politique de sécurité. Mais d’un point de vue opérationnel la sécurité résulte d’une combinaison d’activités, de mesures organisationnelles, de logiciels et de matériels.
Si l’on considère les choses de ce point de vue on peut estimer la part d’activité qui entre dans la composition des trois âges de la sécurité, protection, détection et réaction :
– pendant les années 1990, âge de la prédominance des outils techniques de protection, un expert du domaine pouvait déclarer qu’il fallait dans la mesure du possible tenir les humains à l’écart des systèmes de sécurité, et ce n’était pas entièrement faux, sous réserve que les dispositifs constitutifs du système en question soient bien conçus et régulièrement mis à jour, et en tenant compte des particularités irréductibles de chaque système d’information à protéger, du fait par exemple d’environnements économiques, législatifs, réglementaires et commerciaux différents ;
– l’âge de la détection (décennie 2000) a vu croître la part d’activité humaine dans les systèmes de sécurité, parce que la détection demande de l’expérience, de l’intuition, une capacité à rapprocher un grand nombre d’informations hétéroclites et à en tirer des conclusions ;
– cette nécessité d’augmenter la part de l’intervention humaine dans les systèmes de sécurité est encore accentuée à l’époque, contemporaine, de la réaction aux incidents : on est là sur un terrain où l’on a admis une fois pour toutes que certaines attaques réussiront, qu’il faudra agir a posteriori, au cœur du SI de l’entreprise, ce qui suppose une connaissance fine de ce système et de ses acteurs ; des dispositifs techniques peuvent certes aider, mais pas se substituer à des ingénieurs qui connaissent à la fois leur métier et leur entreprise (ce qui écarte l’idée d’une externalisation totale de la fonction de sécurité).
En bref, et pour emprunter à Bruce Schneier lui-même le conseil qu’il donnait lors du Forum international de Cybersécurité à Lille en 2015, les entreprises soucieuses de leur sécurité informatique et sur Internet doivent acheter moins de produits sur étagère et recruter plus d’ingénieurs compétents spécialistes du domaine.
Observer, orienter, décider, agir
Aux âges précédents (protection, détection) il était difficile d’apprécier la qualité des systèmes de sécurité proposés sur le marché parce qu’ils se présentaient comme des boîtes noires au fonctionnement peu compréhensible. À l’âge de la réaction, nous dit Bruce Schneier, il n’en va plus ainsi parce que l’action humaine est au cœur du dispositif de sécurité, que les logiciels et matériels doivent aider.
Pour décrire cette activité, Bruce Schneier emprunte à un spécialiste de stratégie aérienne l’idée de boucle OODA : observer, orienter, décider, agir.
– Observer : savoir en temps réel ce qui se passe sur le réseau. Cela repose sur de bons systèmes de détection, tels qu’outils de détection d’intrusion (IDS), analyse des journaux (logs), jusqu’aux caméras de surveillance et autres dispositifs de surveillance physique. La qualité de tels systèmes se mesure à leur aptitude à condenser cette masse énorme de données pour en présenter une synthèse intelligible par un humain.
– Orienter : comprendre, dans le contexte de la situation en cours, ce que signifient les faits observés. S’agit-il vraiment d’une attaque ou simplement de la mise en service désordonnée d’un nouveau logiciel par les équipes de l’informatique de gestion ?
– Décider : savoir quoi faire à l’instant, ce qui implique de savoir qui doit prendre la décision, et d’être en mesure de lui donner les informations propres à éclairer sa démarche.
– Agir : effectuer rapidement les modifications de configuration des systèmes et du réseau qui s’imposent, ce qui exige, premièrement, d’avoir un accès permanent et complet aux systèmes de commande des infrastructures, deuxièmement, de s’entraîner régulièrement par des exercices d’alerte à effectuer ces manœuvres.
Naguère l’auteur de ces lignes eut un employeur qui organisait des exercices de sécurité informatique : à une date plus ou moins imprévue nous recevions par exemple de l’autorité centrale la nouvelle (fictive) que tel logiciel bureautique très répandu dans les laboratoires était infecté par un virus très destructeur et qu’il fallait de toute urgence le désinstaller et appliquer le correctif donné par l’éditeur. A priori cela semblait une perte de temps pénible, mais à l’usage ces exercices apparurent utiles et même précieux parce qu’ils permettaient de vérifier la continuité et l’efficience des circuits d’information, qui sont absolument essentiels en cas d’attaque réelle.