La cartographie : l'avenir de la sécurisation des systèmes d'informations

Face aux enjeux actuels en matière de risques cyber, les outils d'appréhension des systèmes d'informations sont dépassés. Ils livrent des informations incomplètes, difficiles à appréhender. Pourquoi dès lors ne pas miser davantage sur l'outil utilisé depuis des millénaires pour appréhender les environnements complexes : la cartographie ?

Depuis des millénaires nous utilisons la carte comme outil de compréhension et de décryptage des environnements complexes. Or cette pratique de la cartographie est encore peu répandue pour analyser nos environnements informatiques, qui sont pourtant de plus en plus complexes et mouvants, de plus en plus difficiles à comprendre et donc à défendre. La plupart des outils IT dont nous disposons aujourd’hui génèrent une donnée dont la représentation est difficile à appréhender (principalement sous forme de graphiques et de tableaux Excel) alors même que les actualités récentes ont démontré les risques auxquels les organisations sont exposées et les conséquences de leur vulnérabilité. Pourquoi dès lors ne pas considérer nos systèmes d’information, avec leurs milliers de machines, d’applications, d’utilisateurs, comme des mégalopoles qui évoluent constamment et les analyser avec les mêmes outils pour mieux les défendre ?

 Des outils de représentation des systèmes d’informations dépassés

Tenteriez-vous de décrire le fonctionnement d’une grande ville comme Paris en utilisant un tableur ou un graphique ? La réponse est probablement non et votre premier réflexe sera vraisemblablement d’utiliser une carte. Et pourtant, alors même que le fonctionnement du système d’information d’une entreprise est comparable à celui d’une grande métropole (avec ses organes vitaux, ses axes de transports, ses points de contrôle, ses usagers) le recours à la cartographie n’a jusqu’à présent pas été un réflexe pour appréhender nos environnements numériques. Aujourd’hui, le monde informatique ne peut s’observer qu’au travers de tableaux de données et de graphiques.

En effet, bien souvent, l’analyse d’un système d’information est réalisée via :

  • Une liste des machines présentes sur le réseau (CMDB pour Configuration Management DataBase) dont les informations sont souvent incomplètes car mise à jour à la main, 
  •  Des fichiers à plats de type Microsoft Excel à travers lesquels il est difficile de représenter des liens entre les différents réseaux et périmètres de l’entreprise, 
  • Des dashboards maison créés par les équipes qui ne permettent pas une vue unifiée et une comparaison entre différents services.

Si le choix du format et du contenu des outils de contrôle est laissé à la discrétion de chaque équipe, comment proposer facilement une réponse unifiée et un référentiel clair ?

La cartographie, clé de voute de la prévention et de la détection des risques

Comme nos villes, tous les systèmes d’information de nos entreprises peuvent être cartographiés. La matière première ? La donnée générée par les outils de sécurité.

Selon l’ANSSI (Agence nationale de la sécurité des systèmes d'information), "dans un contexte numérique, la cartographie permet de représenter le système d’information (SI) d’une organisation ainsi que ses connexions avec l’extérieur. Cette représentation peut être plus ou moins détaillée et inclure, par exemple, les biens matériels, logiciels, les réseaux de connexion, mais aussi les informations, activités et processus qui reposent sur ces biens" et cela doit permettre de réaliser l’inventaire patrimonial du système d’information, de savoir la liste des composants du SI et leur description détaillée, de présenter le système d’information sous forme de vues, de bénéficier de représentations partielles du SI, de ses liens et de son fonctionnement. Elle vise à rendre lisibles et compréhensibles différents aspects du système d’information".

La modélisation cartographique permet de rendre la compréhension du système d’information universelle au sein d’un référentiel unique tout en donnant les moyens au responsable informatique de mettre en place les mesures défensives adéquates pour diminuer la surface d’attaque en initiant des analyses de sa cartographie. Ce mode de représentation accélère donc efficacement la prévention, la détection d’anomalies et la réponse à l’incident. Il permet également – au même titre qu’une carte qui en cas de crise est utilisée pour rassembler les pompiers, la police, le maire de la ville autour d’un outil de collaboration claire - de rassembler les équipes de directions de l’entreprise, les équipes métier et les responsables cyber.

Toujours selon l’ANSSI, la modélisation cartographique doit s’intégrer "dans une démarche globale de gestion des risques" et permettre de faire face aux attaques informatiques "de plus en plus nombreuses et complexes" qui "interviennent dans un environnement en constante évolution".

Les médias interactifs numériques comme supports privilégiés

Si la cartographie a jusqu’alors été peu utilisée pour représenter nos systèmes d’informations c’est probablement parce que nous n’avions pas les moyens techniques suffisants pour modéliser des environnements complexes et mouvants de milliers de machines et d’utilisateurs. C’est peut-être aussi parce qu’il n’était pas intéressant de modéliser un environnement dont la représentation pouvait devenir obsolète d’un jour à l’autre. Dès lors que cette représentation peut s’adapter en temps réel avec les évolutions de l’environnement, l’utilisation de cette carte redevient un atout pour les entreprises qui doivent aujourd’hui se défendre dans le noir. La science fiction et les séries télé – qui sont souvent visionnaires en matière d’évolutions des technologies - ont déjà bien identifié ce besoin de "voir l’invisible" en matière de cybersécurité. On pense notamment à la scène de préparation à la cyberguerre dans le Bureaux des Légendes.

Aujourd’hui, grâce aux technologies récentes des médias interactifs numériques, il est possible de représenter et consulter ce type d’environnements directement sur les périphériques / outils utilisés par les experts de la cybersécurité (un ordinateur portable, une tablette et même un téléphone). A l’heure actuelle, imaginer un responsable de la sécurité des systèmes d’information (RSSI ou CISO en anglais) qui ouvrirait la carte de l’environnement qu’il doit protéger sur son téléphone n’est donc plus de la science-fiction et cela constitue une réelle avancée en matière de gestion des risques.

On estime ainsi qu’en représentant les surfaces d’attaque exposées sur internet d’une entreprise (infrastructure, services, applications) et les environnements internes, on peut représenter l’ensemble du système d’information à défendre et ainsi couvrir et prévenir plus de 30% des techniques d’attaques connues (external remote services, hardware additions, expoit public facing app).

Cartographier un système d’information c’est donc faciliter sa lisibilité par tous et favoriser la collaboration entre les équipes mais aussi et surtout permettre à l’organisation d’anticiper les attaques et lui donner la possibilité de se défendre rapidement et de se protéger efficacement.