Adapter sa défense en fonction de son prédateur… Simple et naturellement évident
Que nous soyons une industrie, une banque ou un fournisseur d’énergie, que notre implantation soit exclusivement en France, en Amérique latine ou globale, nous utilisons tous les mêmes solutions de sécurité. Et c'est bien là le problème.
Dans la nature, chaque espèce a développé une méthode de défense basée sur un critère unique, celui de son principal prédateur. Certains animaux parient sur la vélocité, d’autres sur des carapaces, d’autres encore sur le camouflage… l’inventivité est sans limite mais fait toujours sens pour se défendre contre « LE » prédateur principal de l’espèce concernée.
Qu’en est il de nos stratégies de cyberdéfense ?
Que nous soyons une industrie, une banque ou un fournisseur d’énergie, que notre implantation soit exclusivement en France, en Amérique latine ou globale, nous utilisons tous globalement les mêmes passerelles anti-pourriels, les mêmes passerelles web, les mêmes pare-feu, les mêmes anti-virus ou les mêmes outils de détection des intrusions.
Les mises à jour de signatures de ces outils nous sont fournies par les mêmes éditeurs sans prise en compte ni du secteur d’activité, ni de la zone géographique d’appartenance.
En bref, notre stratégie de défense semble parier sur le fait que nous avons tous le même prédateur.
Pourtant, une analyse des incidents remontés par un SOC, quel qu’il soit, fait très rapidement ressortir une tendance toute différente. Certes, il mesure un bruit de fond commun à tous métiers et à toutes les géographies (celui de la cybercriminalité très générique pour laquelle les solutions classiques apportent une couverture très raisonnable), mais la plus grande partie du risque encouru est liée à deux facteurs principaux :
1 – les campagnes de cybercriminalités organisées qui officient en langue locale, qui utilisent le contexte régional et qui n’en sont que plus dévastatrices (par exemple, les campagnes de rançongiciels diffusées par hameçonnage local très crédible).
2 – l’activité répétée de quelques prédateurs (adversaires) hautement spécialisés qui ciblent votre organisation pour son domaine d’activité et qui n’auront de cesse de lancer de nouvelles campagnes innovantes sur les cibles qu’elles se sont fixées.
Il est clair que nous n’avons pas tous le même prédateur…
Le but n’est évidemment pas de convaincre les entreprises de changer l’ensemble de leurs technologies de défense. A bien y regarder, les technologies sont pour la plupart très performantes. L’inadéquation « avec le prédateur qui vous en veut » provient principalement des mises à jours de signatures qui orientent l’outil vers ce qu’il doit bloquer ou détecter, et qui ne sont pas différentiées.
Ces différentiateurs permettant d’adapter ses défenses à ses prédateurs (adversaires) sont pourtant déjà disponibles :
- Les CERTs, qui en Europe se sont développés à la fois sur une approche géographique et sectorielle apportent le renseignement adapté à la menace qui sévit localement.
- Les ISAC (Information Sharing and Analysis Center) s’organisent par secteurs d’activité et diffusent à leurs adhérents les marqueurs qui les concernent
- Les sources professionnelles (de Threat Intelligence), proposent des mises à jour de marqueurs différenciés par prédateurs (adversaires), par victimes (cibles) et par zones géographiques.
- Les sources OSINT (Open Source Intelligence) sont moins détaillées mais très nombreuses
L’utilisation de ces sources de marqueurs en compléments des mises à jours classiques des éditeurs permet d’adapter la protection et la détection aux prédateurs qui correspondent au risque principal de chaque organisation.
Cette approche finalement toute « naturelle » s’appelle en cyber sécurité, l’intégration du renseignement sur la menace (Threat Intelligence) au cœur du système de défense.
Certains parleront du SOC traditionnel transformé en un ISOC
(Intelligence driven SOC) ou en un SIC (Security Intelligence Center) …
Le concept reste le même : garder un œil sur le prédateur et s’en protéger