Close
  • Français
  • English

[Contribution] La BEPA-Cyber, un outil d’évaluation des cyber-menaces pour tous [par Thierry Autret COL (RC), RSSI au Groupement des Cartes Bancaires CB]

Un moyen pour communiquer au plus grand nombre

Alors que l’Etat a réaffirmé dans le livre blanc de la défense et de la sécurité nationale 2013 la réalité de la cybermenace et l’urgence « d’augmenter de manière très substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information, tant pour le maintien de notre souveraineté que pour la défense de notre économie et de l’emploi en France », la sensibilisation de la population et l’adoption des bons réflexes demeurent largement insuffisantes et pourtant indispensables. La lutte contre la cybermenace est l’affaire de tous, parce qu’elle peut atteindre tout le monde, de la PME à l’opérateur d’importance vitale et que nombre d’attaques seraient aisément contrariées par des comportements individuels adaptés ; la cybersécurité ne peut être assurée efficacement sans le soutien de la population.

Communiquer sur la cybermenace dans un langage accessible à tous est un exercice difficile. C’est pourquoi l’idée est née en 2012 au sein de la réserve citoyenne cyberdéfense de disposer d’une échelle permettant d’évaluer l’intensité des menaces cyber afin de sensibiliser le grand public. La base d’estimation des potentiels d’attaque cyber (BEPA-Cyber) a ainsi été élaborée pour permettre aux personnes amenées à anticiper ou à traiter les effets des menaces cyber, de communiquer sans entrer dans les détails techniques, de hiérarchiser les menaces, d’identifier plus facilement les moyens de réponse, de prendre les décisions pertinentes au bon niveau d’abstraction.

Un moyen pour communiquer au plus grand nombre

26 avril 1986 – Tchernobyl (Ukraine) : les moins de trente ans ne peuvent pas connaître l’inquiétude qui s’empara de la population européenne en découvrant par les média, jour après jour, l’ampleur de la catastrophe ; tout le monde s’interrogeait sur la menace de contamination et sur ce qu’on pouvait faire. En France, certains affirmaient que le nuage radioactif n’avait pas franchi nos frontières – jusqu’à l’annonce contraire dans le journal télévisé de Jean-Claude Bourret. Celui-ci fut moteur pour la création de l’échelle internationale INES de classement des événements nucléaires (International Nuclear and Radiological Event Scale), répondant au besoin d’information de la population et des média. L’accident de Tchernobyl y est classé de niveau 7 – accident majeur, tout comme l’accident de la centrale de Fukushima-Daiichi (Japon) en 2011.

En 2012, face à la menace cyber qui s’avère tout autant immatérielle et obscurément technique pour le grand public que la menace nucléaire, Jean-Claude Bourret, colonel de réserve de la gendarmerie nationale associé aux premières réunions de la réserve citoyenne de cyberdéfense, a de nouveau été le premier à émettre l’idée d’une échelle de caractérisation des attaques cyber similaire à l’échelle INES. Favorable à cette idée, le général de corps d’armée Bernard Pappalardo, chef du service des technologies et des systèmes d’information de la sécurité intérieure (ST[SI]²) a initié un petit groupe de travail associant les « réservistes cyber » Thierry Autret et Florence Esselin, ainsi que quelques officiers de la gendarmerie, visant à définir une échelle d’alerte et de sensibilisation de la population.

Le travail accompli sur la BEPA-Cyber depuis 2012

Les premières réflexions avaient conduit à la rédaction d’un article diffusé au sein de la réserve citoyenne cyberdéfense (newsletter n°7), établissant six axes de caractérisation des menaces et de leurs impacts. Ces axes constituaient une représentation graphique en rosace, dont l’aire délimitée par les cotations des caractéristiques était proportionnelle à l’impact de la menace et à sa dangerosité.

Cependant l’intégration d’un axe mesurant l’impact limitait l’usage de cette rosace à des fins statistiques, d’une part parce qu’un impact ne peut être mesuré qu’après coup, d’autre part parce qu’il est propre à chaque victime. En effet, l’impact dépend des vulnérabilités et des capacités de défense de la victime, ainsi que de la valeur des biens essentiels menacés. Une attaque par des adolescents utilisant des outils disponibles sur internet contre des sites mal protégés réussira alors que la même attaque contre le site d’une banque n’aura que peu de chance d’aboutir du fait des mesures de sécurité déjà mises en place. En revanche, quand une attaque sur une banque réussit les pertes peuvent être très lourdes. Par conséquent, il est apparu plus pertinent de se focaliser sur la dangerosité d’une menace en faisant abstraction de ses conséquences, afin de définir un indicateur qui soit utile à la fois pour alerter de l’arrivée d’une menace, pour suivre l’évolution d’une attaque ainsi que pour établir des statistiques a posteriori.

Exposée dans la Revue de la gendarmerie nationale – Spéciale FIC 2014 (N°248 – décembre 2013, pp. 113-125), la BEPA-Cyber a depuis été améliorée.

La cohérence et la pertinence du choix des critères de la BEPA-Cyber ont été confirmés par des ingénieurs d’organismes de référence ayant travaillé par le passé sur une grille d’analyse des menaces. Alors que les CERT ont développé des outils d’analyse de la menace très précis et techniques, mais le plus souvent confidentiels, l’objectif de la BEPA-Cyber est de communiquer en mots simples vers le plus grand nombre.

Nous avons enfin montré l’utilité de cette caractérisation pour la vulgarisation de la démarche d’analyse des risques nécessaire à la mise en œuvre de tout système d’information ; elle est exploitée dans l’annexe 1 du guide « L’homologation de sécurité en neuf étapes simples » publié par l’ANSSI en juin 2014, dans le tableau d’autodiagnostic du besoin de protection d’un système d’information, dont voici un extrait :

1 2 3 4 Valeurs
Quel est le niveau de compétence maximal présumé de l’attaquant ou du groupe d’attaquants susceptibles de porter atteinte au système d’information (SI) ?
Individu isoléde niveau decompétence

élémentaire

 

Individu isoléde niveau decompétence

avancé

 

Groupe d’individus organisés,de niveauxindividuels de

compétence

faibles à moyens,

ou individu isolé

aux compétences

expertes

Grouped’individusexperts,

organisés, aux

moyens quasi

illimités

Quelle est la précision des attaques potentielles envers le SI ?
Attaques « auhasard » sur lecyberespace Attaquesorientées versle continent

européen ou la

France

Attaques ciblantun groupede victimes

présentant des

caractéristiques

communes

Attaques visantprécisément lesystème
Quel est le niveau de sophistication des attaques potentielles contre le SI ?
Outils d’attaquetriviaux (logicielde scan de ports,

virus connus,

etc.)

Outils élaborésgénériquesprêts à l’emploi

(réseaux de

botnet loués,

faille connue,

etc.)

Outilssophistiqués,adaptés pour le

SI (zéro-day,

etc.)

Boîte à outilstrès hautementsophistiquée
Quelle est la visibilité des attaques potentielles contre le SI ?
Attaqueannoncée(revendications

« d’hacktivistes »,

rançon, etc.)

Attaqueconstatéeimmédiatement

par ses effets sur

le SI

Attaque discrète,qui laisse destraces dans les

journaux d’événements, mais ne

perturbe pas le

fonctionnement

du SI

Attaqueinvisible, réaliséeen laissant le

minimum de

traces

Quelles sont la fréquence et la persistance des attaques potentielles contre le SI ?
Unique :l’attaque ne seproduit sur la

cible qu’une

seule fois

Ponctuelle :l’attaque survientplusieurs fois

sans régularité

dans sa

fréquence (elle

peut être liée à

l’actualité)

Récurrente :attaquepar vagues

successives

importantes

Permanente

 

La BEPA-Cyber, un outil de prévention

Avec ce tableau on peut déterminer les niveaux BEPA-Cyber minimum et maximum des menaces à redouter, en calculant le logarithme binaire du produit des valeurs extrêmes en réponse à ces questions.

Les PME, PMI et TPE manquent généralement de compétences expertes et de temps pour les acquérir. La BEPA-Cyber devrait pouvoir les aider à porter des efforts en SSI rapides et efficaces. En effet, après avoir caractérisé les menaces qui les concernent, elles pourraient déterminer facilement les mesures préventives relativement bien adaptées en se référant à des tableaux de mesures typées selon les critères de la BEPA-Cyber.

Simulons par exemple le cas d’une entreprise de construction de charpentes métalliques dont la survie dépend de la justesse des calculs de structures et de la confidentialité des formules élaborées. La première étape consiste à identifier les menaces qui peuvent concerner cette entreprise. Dans son cas, les attaquants potentiels pourraient être des concurrents ou des salariés, disposant de moyens élémentaires ou peu évolués mais pas d’un haut niveau d’expertise, dans le cadre d’une attaque ciblée. Des attaques plus génériques provenant de cybercriminels qui ne s’intéressent pas spécifiquement à l’entreprise peuvent également l’atteindre (origine : 3, précision : 4). Les outils d’attaques seront donc plus probablement triviaux ou génériques (sophistication : 2). Les attaques redoutées sont les attaques discrètes qui ne seraient pas immédiatement décelées (visibilité : 3). On peut s’attendre à des attaques régulières à chaque appel d’offres d’importance et à des attaques ponctuelles (persistance : 3).

Par conséquent le niveau BEPA-Cyber maximum des attaques qui peuvent raisonnablement la concerner aura pour valeur ln(3x4x2x3x3)/ln2 ~ 7,5.

Considérons d’autre part une liste de mesures couvrant des menaces évaluées suivant la BEPA-Cyber. Par exemple, dans le guide d’hygiène informatique de l’ANSSI, la règle 1 « disposer d’une cartographie précise de l’installation informatique et la maintenir à jour » est une nécessité pour contrer les menaces triviales de niveau BEPA-Cyber 0 et toutes celles de niveau supérieur. La règle 5 « Interdire la connexion d’équipements personnels aux systèmes d’information de l’organisme » permet de se protéger des virus de niveau BEPA-Cyber minimum 1.

Ces règles sont donc à appliquer dans le cas de notre entreprise qui doit faire face à des attaques de niveau maximum 7,5. On s’aperçoit rapidement que les règles d’hygiène informatique constituent le socle minimum à respecter. Des recommandations concernant l’effacement des supports amovibles utilisés par l’entreprise seraient en revanche limitées au chiffrement par un outil du marché. Cette mesure vise à protéger les informations d’une lecture immédiate en cas de vol par exemple, ce qui est une menace de niveau BEPA-Cyber 3 (précision 4 et visibilité 2, autres caractéristiques à 1). La surcharge de supports n’apparaît pas pertinente car elle vise à les protéger d’attaques d’un niveau d’expertise avancé, utilisant des outils sophistiqués pour casser le chiffrement, soit un niveau BEPA-Cyber 8.

En cataloguant ainsi les mesures suivant la valeur BEPA-Cyber des attaques qu’elles sont censés contrer, on peut donner une certaine autonomie aux entreprises et aux particuliers dans la prévention des cyber-attaques, en limitant la « sur-sécurité » inutile et coûteuse.

La BEPA-Cyber, un outil d’alerte

La BEPA-cyber pourrait être également un outil d’alerte sur les menaces, utilisé par les CERT à destination des PME/PMI ou des collectivités. On pourrait imaginer qu’un Centre d’Evaluation de la Menace Cyber (CEMCY[1] ) diffuse des bulletins d’alerte utilisant la BEPA-Cyber pour permettre à ses lecteurs de déterminer rapidement s’ils sont concernés et de hiérarchiser le traitement de ces alertes dans leur quotidien surchargé.Nous proposons dans les lignes qui suivent une extrapolation de ce que pourrait être l’utilisation concrète de l’échelle BEPA-Cyber dans ce cas. Toute ressemblance avec des situations ou personnes existantes ou ayant existé serait l’effet du hasard.

Yann Tanguy est sorti inquiet de la sa dernière réunion au club RSSI du CLUSIF. Au-delà du thème du jour, les conversations ont beaucoup tourné autour de l’alerte lancée en début de semaine par le CEMCY concernant la menace « Titan-nique 2.0 » de niveau 7,5 sur l’échelle BEPA-Cyber qui en compte 10. Sa paranoïa, commune à tous les RSSI, est de plus exacerbée par le fait que son prochain Comité Sécurité doit se dérouler vendredi prochain et qu’il va devoir informer sa Direction Générale sur cette menace qui pourrait toucher le SI de sa société.

Le plus dur dans sa situation est d’arriver à faire passer un message d’alerte crédible sans perdre ses Directeurs dans des détails techniques auxquels ils ne comprennent rien. Et Yann sait que la menace annoncée est de 7,5 sur l’échelle BEPA-Cyber alors que son SI met en œuvre des mesures de sécurité ne le protégeant que jusqu’au niveau 7.

Le bulletin d’alerte du CEMCY est le suivant :

Nom de la menace : Titan-nique 2.0

Catégorie : ver élaboré

Niveau BEPA-Cyber : 7,5

  • – Origine – 3
  • – Précision – 3
  • – Sophistication – 2
  • – Visibilité – 4
  • – Persistance – 3

Pour son Comité Sécurité il va introduire sa présentation en utilisant les cotations des axes d’analyse. Le bulletin d’alerte indique qu’il s’agit d’une attaque provenant d’individus très organisés disposant de moyens limités mais de compétences importantes (axe origine). Jusqu’à présent des sociétés étrangères principalement du secteur de l’énergie ont été visées, l’attaque paraît ciblée (axe précision). La société de Yann Tanguy travaillant dans le secteur de l’énergie est potentiellement une cible pour cette attaque. Le vecteur d’attaque est un ver apparemment assez sophistiqué (axe sophistication). L’attaque est très discrète avant de saboter l’ensemble du SI par les brèches que le ver à ouvertes. Le CEMCY craint des vagues successives d’attaques (axe persistance).

Il s’attend dès lors à la question de sa Direction : « Qu’en pensez-vous, sommes-nous protégés contre une telle attaque ? ». Il annoncera alors que le niveau d’intensité de l’attaque de 7,5 dépasse le niveau de protection de l’entreprise.

Il rappellera qu’il n’a pas attendu une telle situation pour mettre en place les principales règles d’hygiène informatique préconisées par l’ANSSI. Mais pour une attaque de niveau 7,5, la vigilance doit être renforcée pour en détecter les marqueurs ; un outil de gestion et corrélation de logs s’avère nécessaire. Le projet avait été plusieurs fois repoussé par des arbitrages budgétaires défavorables. Cette fois la direction prend un risque considérable à ne pas mobiliser, même temporairement, des moyens supérieurs.

Perspectives et pistes de progrès

Pour dépasser l’extrapolation précédente, nous recherchons actuellement des contributeurs dans des champs d’expérimentation des divers usages de la BEPA-Cyber, tels que :

  • – aider un RSSI à représenter graphiquement ses tableaux de bord sur les incidents traités ou les menaces à craindre à l’attention de son comité de direction ;
  • – enrichir un bulletin d’information interne entreprise visant à sensibiliser les salariés sur les menaces ;
  • – établir des tableaux de correspondance entre des mesures SSI recommandées et les menaces qu’elles permettent de couvrir ;
  • – diffuser des alertes, communiquer vers la direction en temps de crise, etc.

Cette contribution doit permettre de vérifier que cet outil simple est compréhensible de tous.

Enfin une amélioration pourrait être portée en figurant l’échelle avec un code couleur représentatif des impacts potentiellement pour un individu, une entreprise, une association d’intérêts individuels ou un État, en supposant que chacun dispose de mesures de protection proportionnées à ses missions et à ses moyens.

L’échelle résultante d’intensité pourrait être :

 

BEPA-Cyber Exemples de type d’attaques(d’après des sources ouvertes) Impacts potentiels
10 Stuxnet Fatal au fonctionnement d’une centraleAtteinte aux intérêts supérieurs d’un État
9 APT/PHO – outils très sophistiqués Exfiltration de données protégéesImpacts dérivés sur le chiffre d’affaire de la cible entrainant potentiellement des pertes d’emplois
8 APT/PHO – outils génériques Exfiltration de données – préjudice difficile à chiffrerImpacts dérivés sur le chiffre d’affaire de la cible entrainant potentiellement des pertes d’emplois
7 Rançongiciel type CryptoLocker Impacts individuels ou collectifs, perte de données, préjudice financier, indisponibilité des postes infectés
6 Attaques DDOS sur les sites internet d’entreprises d’un même secteur d’activitéVol de données de cartes bancaires Impacts économiques modérés à fatals pour les entreprises en fonction du secteur d’activitéImpacts financiers importants pour les victimes et conséquences potentiellement fatales pour le commerçant
5 Ver type ConfickerMalveillance d’une personne ayant des accès privilégiés au SI de son entreprise Impacts indéterminésImpacts fatals recherchés sur l’entreprise
4 Attaque « Anonymous » Impact modéré et temporaire sur l’image de l’entreprise ou de la collectivité attaquée
3 Escroquerie dite « à la nigériane » ou « fraude 419» Impacts financiers potentiellement importants pour les victimes
2 Spam Impact modéré
1 Introduction accidentelle d’un virus sur le réseau d’une entreprise par un salarié via une clé USB Impact faible voire insignifiant si des mesures de protection élémentaires sont mises en œuvre
0 « Script kiddie », adolescent testant au hasard des outils d’attaques en revendiquant sa démarche Impact faible voire insignifiant si des mesures de protection élémentaires sont mises en œuvre

 

Une initiative aujourd’hui unique au monde

Aux USA, le MS-ISAC Multi-state –Information sharing & security center a proposé une cotation à 5 niveaux basée sur identifications de faits. Cette analyse est purement subjective.

Le seul article présentant une approche similaire à celle de l’échelle BEPA est celle de la société Symantec qui propose dans un article de 2006 un score de sévérité à 10 niveaux pour chaque vulnérabilité découverte. L’analyse identifie des facteurs comme l’impact de l’attaque, l’exploitabilité à distance, le besoin d’être authentifié pour réaliser l’attaque, et la disponibilité du système cible. Le score est calculé sur le résultat d’un algorithme non communiqué. Les critères pris en compte sont principalement techniques et l’algorithme ne peut être jugé par la communauté.

La BEPA-Cyber est donc une initiative française qui se présente en termes simples, propices à une adhésion par le plus grand nombre, dans une forme proche des échelles de Richter ou INES d’usage international.

 

Thierry Autret
COL (RC), RSSI au Groupement des Cartes Bancaires CB

 

Références :

« BEPA-Cyber, la base d’estimation des potentiels d’attaques cyber », T.Autret, F.Esselin, Revue de la gendarmerie nationale, revue trimestrielle/Décembre 2013 ¨N°248, , pp. 113-125.

« Guide d’hygiène informatique », Agence nationale de la sécurité des systèmes d’information, Version 1.0 – Janvier 2013

« L’homologation de sécurité en neuf étapes simples », Agence nationale de la sécurité des systèmes d’information, Version 2.0 – Juin 2014

« Multi-State Information Sharing & Analysis Center », https://msisac.cisecurity.org/alert-level/

« Symantec Security Response – Assessing the Severity of Threats, Events, Vulnerabilities, Security Risks », Updated February 2006, Page 1 of 5

[1]Cet organisme, public ou privé, est une fiction qui pourrait avoir son utilité.