Close
  • Français
  • English

S’informer pour se protéger, comment aller vers une veille anticipative

La veille est une pratique répandue qui repose aujourd’hui sur l’écoute des sources d’informations ouvertes et se positionne dans la guérison plutôt que la prévention. L’élaboration d’outils utilisant le web profond pour analyser les sources pirates en amont constitue un excellent complément par rapport à l’utilisation des sources classiques. Grâce aux progrès de l’analyse sémantique des sources hétérogènes, cette approche dispose maintenant d’une réponse technologique efficace. Il est ainsi possible de diminuer le temps de correction des systèmes vulnérables en informant plus tôt les utilisateurs et en adoptant une démarche anticipative.

En amont des outils techniques dédiés, la sécurité des systèmes d’information passe par la connaissance précise des menaces et l’évaluation de l’impact qu’elles peuvent avoir sur nos systèmes. Si durant les dernières années la circulation des informations s’est fluidifiée avec la multiplication des sources ouvertes (OSINT) comme les CERT, on peut se poser la question de savoir si on ne peut pas aller plus loin et surtout plus vite dans la détection de nouvelles menaces probables. Pour cela, plutôt que de se limiter à être un simple observateur, chaque entreprise est vouée à devenir un acteur responsable de la cyber-sécurité dans un environnement toujours plus complexe et évolutif.

 

Si la veille est une pratique aujourd’hui bien établie, elle repose essentiellement sur l’écoute des sources d’informations ouvertes et se positionne dans la guérison plutôt que la prévention

 

Face à l’augmentation des risques liés à l’utilisation des nouvelles technologies, les entreprises ont mis en place des procédures visant à s’informer des nouvelles vulnérabilités exploitables sur leurs infrastructures. Cette évolution tend à généraliser la veille et la mutualisation des connaissances au service de la sécurité de l’information. Il est alors possible d’entrevoir une analyse avec des actions correctives qui préviennent les attaques plutôt que de panser les plaies d’une infrastructure mise à mal.

La clé de voute du système de veille actuel est le CERT (Computer Emergency Response Team)[1], qui permet le partage d’une information publique de qualité sur les dernières failles découvertes. Il est cependant difficile pour une entreprise de taille moyenne de s’abonner à l’ensemble de ces systèmes de veille et d’alerte. En conséquence, le CERT et plus généralement les OSINT sont un luxe utilisé par une minorité alors que leur objectif initial est d’informer l’ensemble des professionnels de l’informatique.

Par définition, la veille consiste à surveiller les évolutions de l’environnement et repose donc sur la découverte d’un incident. De ce constat les failles relayées par le CERT ou les laboratoires de recherche de vulnérabilités sont supprimées du répertoire des vecteurs d’attaques disponibles des pirates, mais ne renseignent pas sur les prochaines vulnérabilités qui seront exploitées. De plus, on note un délai entre la découverte de la vulnérabilité et la mise à disposition du correctif qui offre une fenêtre supplémentaire pour les activités malveillantes [3].

Dans ce contexte, une approche stratégique anticipative sur les prochaines opportunités des attaquants est nécessaire. Cette approche devra utiliser des sources au plus près de la menace.

 

Le recours au web profond et aux sources d’informations complémentaires constitue un excellent complément pour réduire les délais et prévenir l’exploitation de nouvelles vulnérabilités

 

Le web profond regroupe l’ensemble des données accessibles mais non indexées tel que les contenus dynamiques ou encore les forums nécessitant un compte utilisateur [8]. Cette partie « cachée » de l’internet regroupe un grand ensemble de données incluant des sites web pirates accessibles uniquement par cooptation. Ces réseaux sont les nœuds essentiels de la communication entre les pirates. Ils échangent sur leurs travaux passés ou en cours, sur les vulnérabilités qu’ils viennent de découvrir et vont exploiter.

L’exploration du web profond comporte de nombreux défis techniques car les sources sont trop nombreuses pour être analysées par l’homme. Il est donc nécessaire d’utiliser une approche par analyse sémantique permettant de faire une évaluation des nouvelles menaces. L’extraction d’une nouvelle métrique basée sur la synthèse de la réputation de la source ou du pirate est le principal enjeu de ce système. Par la suite un audit humain est nécessaire pour valider l’existence du risque. L’objectif de cette méthode est d’informer les entreprises du risque sur leur infrastructure et de les préparer à effectuer les mises à jour dès la disponibilité des correctifs afin de diminuer la fenêtre d’action des pirates.

 

Chronologie de l’infection

L’utilisation du web profond permet aux entreprises de passer d’une veille « passive » à une veille « anticipative » de leur système d’information. Le but est de ne plus seulement scruter les nouvelles attaques mais bien d’étudier les nouvelles cibles potentielles des pirates pour identifier leurs vulnérabilités en même temps qu’eux. Le temps de correction des systèmes vulnérables se trouve réduit par l’accès aux mêmes sources que les pirates. Les progrès de l’analyse sémantique rendent aujourd’hui possibles ces nouvelles méthodes de veille sur le plan technologique, et constituent une piste explorée par plusieurs sociétés dont Argaus. L’intégration de cette technologie dans l’arsenal de veille des entreprises aux côtés des études OSINT et des autorités officielles permettra de couvrir tous les fronts et de partager les informations pour améliorer la sécurité des systèmes d’information industriels.

Visitez le blog Cybergarde, animé par Maxime ALAY-EDDINE et Florian WININGER


[1] https://observatoire-fic.com/cybersecurite-2014-tendances-et-certitudes-par-guillaume-arcas-et-sebastien-larinier-cert-sekoia/

[2] http://www.symantec.com/region/fr/resources/veille_secu.html

[3] http://www.smh.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140415-zqurk.html

[4] https://observatoire-fic.com/detecter-les-signaux-faibles-des-cyberattaques-ou-pourquoi-vous-devriez-analyser-vos-logs-par-charles-ibrahim-bull/

[5] Humbert Lesca, Nicolas Lesca, Les signaux faibles et la veille anticipative pour les décideurs, Méthodes et applications, EAN13 : 9782746231405

[6] Philippe Cahen, Signaux Faibles, mode d’emploi, éditions Eyrolle, 2010

[7] Philippe Cahen, Le marketing de l’incertain. Méthode agile de prospective par les signaux faibles et les scénarios dynamiques, édition Kawa 2011.

[8] http://www.brightplanet.com/deep-web-university-2/deep-web-a-primer/

[9] http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003.pdf