Close
  • Français
  • English

Prendre la mesure des cyberattaques : peut-on définir une échelle de Richter dans le Cyber ? [par Thierry Autret (Col RC) et Florence Esselin (Clc RC)]

Dès 2008, avec la publication du Livre blanc de la défense et de la sécurité nationale (LBDSN), l’État français a inscrit la menace cyber dans les 4 premières menaces auxquelles la stratégie de défense et de sécurité nationale doit faire face. La résilience nationale, à la fois objectif et démarche de cette stratégie, implique la sensibilisation de la population. Le LBDSN 2013 confirme encore cette position.

[box style=’info’] « La sécurité de l’ensemble de la société de l’information nécessite que chacun soit sensibilisé aux risques et aux menaces et adapte en conséquence ses comportements et ses pratiques. » Livre blanc défense et sécurité nationale – 2013. [/box]

Un paradoxe s’ajoute néanmoins à la difficulté de l’identification technique des menaces et de ses motivations : pour sensibiliser efficacement, il est utile de s’appuyer sur des cas concrets. Cependant le traitement des « affaires » nécessite le plus grand secret, pour que le ou les attaquants soient ignorants des actions de défense, et parce que ces affaires sont souvent l’objet de procédures judiciaires. Par conséquent il faut trouver un moyen de « voir » évoluer la menace, de distinguer simplement les différents types, de faire des statistiques, des alertes, de proposer des mesures, sans que le grand public n’en connaisse précisément la nature. D’où la pertinence d’une « échelle de Richter » de la cybermenace comparable à l’échelle INES dans le secteur nucléaire. Car avec l’interconnexion des réseaux et l’adhérence de notre vie courante avec le monde cyber, les impacts peuvent devenir aussi catastrophiques qu’un tremblement de terre ou une catastrophe nucléaire, ou les deux combinés.

[box style=’info’] Cette idée est née au sein de la réserve gendarmerie, suggérée par notre camarade Jean-Claude Bourret et poussée par le Général Pappalardo commandant le ST(SI)2. Utilisable autant pour communiquer en matière de cyberdéfense que de cybercriminalité, ce travail a reçu la contribution de quelques officiers de gendarmerie impliqués dans ces domaines, dont le Lieutenant-Colonel Philippe Mirabaud chargé de mission cyber auprès du directeur général de la gendarmerie nationale. Il est ouvert à tout commentaire pour être complété et amélioré. [/box]

Comment représenter les caractéristiques d’une attaque pour les rendre visuelles ?

Des groupes de travail associatifs ou privés publient régulièrement un panorama de la menace sur les systèmes d’information. Le CLUSIF le fait depuis des années en France. Des sociétés américaines comme Verizon ou Symantec publient également des rapports annuels sur la cyber menace. Au niveau fédéral américain, le MITRE anime des travaux collaboratifs sur un langage de représentation structurée des menaces cyber. Ces analyses sont descriptives et dégagent des tendances d’évolution des attaques sur une base statistique de leur fréquence. En revanche, elles ne permettent pas de « visualiser » rapidement les caractéristiques d’une attaque particulière.

« Voir » la menace cyber en « rosace »

La démarche suivie par un groupe de réservistes de la RC Cyber a été de formaliser une méthode de représentation de la menace qui viendrait compléter ces analyses tendancielles.
Il existe de nombreuses représentations d’échelles de gravité : l’approche linguistique (faible, moyen, fort), l’approche par couleur (Vigipirate), par niveau (échelle de Richter, Beaufort), ou encore des représentations statistiques (nuages, diagrammes, etc.). Elles résultent d’une analyse préalable qualitative ou quantitative de multiples critères qui est ensuite synthétisée pour être présentée à des décideurs de haut niveau. En tant qu’analyste, nous devons considérer plus de caractéristiques pour mesurer l’ampleur d’une cyberattaque. Dès lors, une synthèse visuelle résultant d’une analyse multifactorielle est nécessaire.

Dans les années 80, le CLUSIF avait publié la méthode d’analyse de risques MARION qui permettait de visualiser, sous la forme d’une rosace, la vulnérabilité d’une organisation au regard de 27 indicateurs. Le principe de la rosace visualise sur un cercle des rayons gradués, la valeur zéro étant à son centre et la plus importante sur la périphérie du cercle. Une caractéristique notée 0 signifie son périmètre, est à son importance maximale. Le nombre de rayons/axes/caractéristiques peut être variable. Trop réduit il revient à une analyse globale et trop élevé il rend l’analyse complexe avec des risques d’interactions entre les axes (dépendances relationnelles). Le nombre de graduations sur un axe peut être variable. Il dépend de la capacité de mesurabilité de la caractéristique analysée. Certaines mesures sont quantitatives (objectives), alors que d’autres sont plus qualitatives (subjectives). Si le nombre de graduations est important, il peut être difficile de positionner la mesure, surtout si l’analyse est qualitative. Par ailleurs, si l’on veut utiliser la représentation par rosace, il est nécessaire que tous les axes aient le même nombre de graduation.

Les axes des menaces – et leur impact

Après débats avec des officiers de terrain, le groupe de travail a retenu six axes d’analyse pour la cotation de l’attaque.

  • • L’origine de l’attaque qui mesure la puissance potentielle de la source de menace : du hacker de base à la menace étatique ;
  • • Le type de cible qui mesure la précision de la diffusion de la menace : de la cible au hasard à la menace ciblée ;
  • • Le vecteur d’attaque qui mesure le niveau de sophistication de la menace : du malware « sur étagère » à l’APT élaboré ;
  • • Le préjudice qui mesure l’impact subit par la cible : d’une perte faible à une mise en péril de la résilience même de l’organisme ;
  • • La visibilité de la menace qui mesure de nombreux éléments comme la motivation ou durée de l’attaque : d’un DDOS immédiatement constaté à une attaque invisible ;
  • • La persistance qui mesure la fréquence de l’attaque sur sa cible : d’une fréquence forte de type robotisé à une fréquence unitaire visant un but précis.

Une graduation à 4 niveaux, si on exclut l’absence qui est représentée par le centre du cercle, est efficace et une valeur paire permet d’éviter le « juste milieu » qui revient souvent à ne pas se prononcer.

Exemples de cotation :

Analyse d’un vol de données cartes bancaires

 

Image-Rosace

  • Origine : L’origine est organisée, liée à un réseau en bande organisé : positionné à 2
  • Type de cible : Vise des commerçants disposant de données directement revendables : positionné à 2.
  • Sophistication : Attaque spécifique exploitant des failles connues de sites web : positionné à 2.
  • Préjudice : souvent très grave pour la cible, pouvant aller jusqu’à la faillite en cas de prestataire de service : positionné à 3 mais pourrait être à 4 en cas de faillite
  • Visibilité : Attaque brutale. Une fois que l’attaquant à trouvé les données recherchées il en fait une copie sans s’attarder à détruire les traces de son passage : positionné à 2.
  • Persistance : Attaque est de type récurrent et cyclique. L’attaquant passe à d’autres sites disposant des mêmes failles : positionné à 3.

 

Les utilisations possibles

On peut envisager plusieurs utilisations dans le but de la sensibilisation des entreprises et en particulier des PME-PMI à la cybermenace. Par exemple l’information publique par les services de l’État, d’une vague d’attaques visant les entreprises d’un secteur donné. Les valeurs des axes de la rosace caractériseraient la posture que les entreprises devraient tenir, qui pourrait être quant à elle mentionnée dans un document de portée générale restant confidentiel (le plan de continuité informatique par exemple).

[box style=’note’] Cette approche visuelle n’est que la première étape d’un travail qui, une fois testée et validée par des services opérationnels, visera à proposer une échelle de « gravité » qui pourra servir de communication unifiée entre les services, vers la presse et les institutions. [/box]