Close
  • Français
  • English

Cybersécurité et aide à la décision

(Par Cyril Nalpas, CEIS)

Les études soulevant le fait que les petites et moyennes entreprises sont les principales victimes de la cybercriminalité économique se sont multipliées ces dernières années[1][2]. Passé le soupçon initial quant à l’origine de ces études (l’idée qu’il pourrait s’agir avant tout d’une tentative marketing afin de pénétrer un marché encore presque vierge), la question des coûts associés à leur combat reste inéluctablement un frein.

Quand bien même les campagnes de sensibilisation auraient pu apporter à ces structures de taille modeste la prise en compte de l’importance du risque cyber, l’expert en sécurité reste une denrée rare et onéreuse alors que les solutions logicielles efficaces nécessitent un certain niveau d’expertise pour être opérées. Le problème est exacerbé dans le cas des startups, qui combinent tout à la fois innovation et incapacité d’investir dans une cyberprotection alors même  que leur capital informationnel est très attractif pour un cyberattaquant.

Dans un contexte macroéconomique si défavorable, comment concilier  le besoin grandissant en matière de cybersécurité des petites et moyennes entreprises avec leur budget ? Ne serait-il pas intéressant de créer des systèmes d’aide à la décision qui correspondent à leur taille et donc à leur niveau d’expertise cyber ?

Aide à la décision & systèmes experts

L’aide à la décision, aussi appelée recherche opérationnelle, est l’ensemble des méthodes et des techniques rationnelles permettant d’opter pour la meilleure prise de décision possible. Grâce à une modélisation conceptuelle et mathématique, elle vise à analyser des situations complexes en vue de donner aux décideurs la capacité d’arbitrer sans avoir besoin de maîtriser l’ensemble des concepts derrière la problématique posée.

Le système expert représente la version logicielle de l’aide à la décision, reproduisant les mécanismes cognitifs d’un expert de son domaine. Il est capable de répondre à des questions en mettant en relation faits et règles à l’aide d’un moteur d’inférence reposant  essentiellement sur le syllogisme.

En matière de cybersécurité, les SIEMs (Security Information and Event Management) et les IDS (Intrusion Detection System) sont des logiciels experts. Dans le cas des SIEMs par exemple, un moteur de corrélation permet de relier plusieurs évènements à une même cause, simplifiant la tâche des experts qui l’emploient en effectuant ainsi un travail qui auparavant leur revenait. Nous voyons ces logiciels comme de simples outils, cependant il faut bien comprendre qu’ils intègrent et mettent en pratique un premier niveau d’expertise et de raisonnement.

Accessibilité de la cybersécurité : niveau minimum de sécurité à atteindre

Si l’expertise humaine est trop onéreuse et si les outils de sécurité restent destinés aux experts, alors apparaît le besoin d’une solution logicielle permettant aux petites structures de se protéger en se rapprochant de la prestation d’un expert.

En se penchant sur les logiciels de sécurité, on remarque plusieurs choses :

–          On retrouve toutes les solutions nécessaires dans le domaine des logiciels libres pour établir une cartographie détaillée d’un réseau et de son environnement logiciel, détecter des failles de sécurité et même détecter des intrusions.

–          Ces logiciels ne présentent pas les informations de façon intelligible pour le béotien, et n’offrent pas de solution claire à un problème qu’ils sont pourtant en mesure d’identifier.

Ayant toutes les cartes en main, nous pourrions imaginer un logiciel capable de déterminer et d’analyser la topologie réseau d’une entreprise, puis de suggérer les modifications à apporter afin de permettre un niveau bien plus élevé de sécurité. Il s’agirait d’associer les capacités d’analyse des logiciels existants avec une documentation pédagogique, intégrée, pour guider pas à pas le néophyte dans les actions correctives à opérer.

La base de faits et de règles d’un tel système expert intégrerait les vulnérabilités connues et les règles techniques fondamentales de la sécurité informatique (fermeture des ports non-utilisés, maintien à jour de l’environnement logiciel, etc.). Ceci complémenterait les campagnes de sensibilisation mises en œuvre afin de réduire les manquements humains à l’hygiène et à la sécurité informatique, on pense notamment au besoin de vigilance vis-à-vis des pièces jointes.

L’aide à la décision dans la réaction à une cyberattaque

Toujours dans l’optique d’apporter la protection aux béotiens, il convient de s’intéresser à la réaction en cas d’attaque : toute entreprise sera, à un moment ou un autre, l’objet d’une attaque. Comme les premiers secours pour l’humain, la rapidité et l’efficacité de la réaction détermineront les impacts de l’attaque.

La première réaction à portée de l’utilisateur informé est d’isoler un élément compromis. Cependant le confinement peut aussi concerner un élément sensible dont l’intégrité et la confidentialité doivent être conservées, quitte à sacrifier sa disponibilité dans un premier temps (en attendant l’intervention d’un CERT).

C’est aussi l’occasion de rappeler à l’utilisateur les bons réflexes[3] en cas d’attaque : conservation des preuves, ne pas éteindre les postes infectés afin de préserver les informations en mémoire sur le malware, etc.

Ce logiciel pourrait être créé à l’initiative d’une entreprise de cybersécurité, qui y verrait l’occasion de promouvoir ses propres solutions, par exemple en les mettant en avant parmi un panel de solutions gratuites. On peut également l’imaginer sous la forme d’un logiciel modulaire, selon un modèle commercial éprouvé : une version de base gratuite et des versions payantes plus avancées en termes de fonctionnalité (qui incluraient un IDS et l’aide à la décision dans la réaction). Ce schéma permettrait ainsi de suivre les entreprises dans leur développement, en les fidélisant dès leur « enfance ».

Cependant si ce logiciel peut constituer un profit, il s’agit d’un enjeu étatique et une telle initiative serait certainement encouragée par l’Etat. En effet, élever d’un cran le niveau de sécurité de ses PMEs, c’est mieux les protéger contre les attaques non ciblées mais aussi les rendre moins attractives en tant que cible que les entreprises d’autres pays.

Au-delà des cyberattaques visant le gain immédiat (vol de données clientes, ransomware), l’innovation dont les petites structures font preuve attirent les convoitises. D’autre part, les sous-traitants constituent souvent le maillon faible pour un attaquant sérieux qui souhaite pénétrer la sécurité d’une grande entreprise. Cela devient alors stratégique pour un Etat de s’assurer que les  petites entreprises ont les moyens de se protéger jusqu’à l’atteinte d’une taille critique, moment où l’entreprise possède enfin les moyens d’accéder aux services d’un expert en sécurité.

Il peut sembler naïf de penser qu’un tel logiciel pourrait avoir un réel impact, cependant nous savons que la DARPA projette de créer un système offensif automatisé[4]. S’il est possible de rendre un tel système efficace, alors la faisabilité d’un équivalent défensif est une question de moyens, et à terme devient entièrement politique.