L’importance des données dans la lutte contre le cybercrime

Depuis quelque temps, les acteurs de la lutte et de la défense contre la cybercriminalité s’intéressent de plus en plus au rôle et au pouvoir des données. Nous allons tenter ici d’expliquer en quoi les données peuvent devenir notre meilleure arme à tous.

Tout d’abord, quel est notre objectif en matière de cyberdéfense ?  Quand avons-nous gagné ? La réponse à cette dernière question est très simple, car finalement l’issue des confrontations touchant à la sécurité de l’information prend forcément l’une des trois formes suivantes :

L’agresseur parvient à ses fins, généralement au détriment de l’entreprise victime

L’agresseur déclare forfait. Soit, ils n’ont pas les ressources nécessaires pour atteindre leur objectif (ils manquent de temps, d’argent ou d’expertise technique.)  Soit, ils préfèrent ménager leurs ressources pour cette fois. Parce que le jeu n’en vaut pas la chandelle ou parce qu’ils ont identifié une autre cible qui mérite qu’ils s’y intéressent.
L’agresseur est poursuivi. Si le criminel opère de l’intérieur, la simple application des règles de l’entreprise ou de la loi suffira. Que l’attaque soit perpétrée depuis l’étranger ne garantit en rien l’immunité des cybercriminels. Avec l’aide de l'agence américaine de l'immigration et des douanes (ICE), Microsoft a réussi à faire condamner les opérateurs de botnets.
Et cette issue dépend à chaque fois d’une simple équation :

Retardement > Détection + Réaction

  • La période de retardement (Delay) correspond à tout ce que la défense peut mettre en œuvre pour prolonger le délai entre le moment où l’entreprise devient une cible potentielle et le moment où le criminel touche au but. Entre autres initiatives pour se défendre, l’entreprise va déployer des correctifs pour combler les failles de sécurité. Elle installe des pare-feu, des systèmes de prévention des intrusions, d’autres appliances de protection. Elle met régulièrement à jour ses antivirus.
  • La détection (Detection) désigne la phase d’investigation pour identifier l’agresseur. Elle s’appuie sur les données de votre SIEM et celles collectées par la plupart des outils de retardement. Mais la détection ne doit pas se limiter à des outils, ni se focaliser sur la signature virale de l’attaque. Les caractéristiques des agresseurs comptent aussi. Intéressez-vous aux horaires des tentatives d’intrusion, au type d’infrastructure qu’ils utilisent, cherchez à connaître leurs noms, où ils sont localisés, comment ils communiquent, quels sont leurs financements.
  • La réaction (Response) s’étend du moment où vous avez détecté l’agresseur jusqu’à l’issue de la confrontation de l’une des trois manières évoquées ci-avant. La phase de réaction inclut le temps d’organisation, d’information des parties prenantes, le choix de la stratégie de réaction et sa mise en œuvre.

Les failles de sécurité sont l’apanage des cybercriminels, les données une arme de la défense

En phase de retardement et même de détection des activités malveillantes, les cybercriminels peuvent avoir le dessus. Tout malfaiteur quel qu’il soit a plusieurs plans en tête : si la porte est fermée, tenter d’entrer par la fenêtre, si la fenêtre est verrouillée, tenter la porte du garage, à défaut du garage, chercher une clé, etc. Mais protéger tous ces points d’accès a un coût. C’est là que tout se joue : la défense doit sécuriser tous les accès possibles sans jamais laisser une seule faille, quand il en suffit d’une seule pour l’agresseur. Et les cybercriminels peuvent tester plusieurs approches sans que cela leur coûte rien ou pas grand-chose. Alors qu’il revient très cher à la défense de maintenir la sécurité de toutes les approches envisageables en continu.
Intéressons-nous maintenant aux données collectables et aux phases de détection et de réaction. Tous les cybercriminels produisent d’énormes quantités de données. Il existe des technologies pour collecter et analyser ces données, de plus en plus rapidement et à moindre coûts. En ayant les outils pour collecter les données relatives aux activités des agresseurs et les trier par catégories, nous pouvons les localiser, alors même qu’ils ne mènent aucune action répréhensible. Nous pouvons détecter leurs systèmes. Nous pouvons détecter leurs comportements. Nous pouvons les détecter EUX.
Et une fois que nous les avons repérés, plutôt que d’arrêter leur progression (sachant qu’ils reviendront par un autre biais), trouvons le moyen de leur faire perdre du temps et de l’argent. Plutôt que de les inscrire sur une liste noire, jouons avec eux, noyons-les sous des tonnes de données inutiles. Par contre, s’ils sont dans l’entreprise, poursuivons-les. Idem, s’ils sont dans un pays dont la juridiction permet de les poursuivre.
Contraignons les cybercriminels à TOUT changer : leurs outils, leurs tactiques, leur infrastructure et leurs modes de communication. La défense doit s’emparer de tout renseignement qui fuite à leur sujet, et compléter leur profil. S’il ne coûte rien ou presque à la défense de procéder de la sorte, cela va coûter cher aux cybercriminels de devoir tout changer à chaque confrontation.

Conclusion

Comme le montre l’équation, les phases de retardement et de réaction sont critiques. Elles conditionnent la détection. La réaction de la défense doit également être suffisamment offensive pour arrêter l’agresseur dans sa démarche. Mais ce devrait être facile, puisque la défense possède le réseau qui est le théâtre de la confrontation.
En phases de retardement et de détection, si la défense se focalise sur les vulnérabilités, elle sera vaincue. A l’avenir, de meilleurs modèles de risque nous aideront à identifier les points à cibler en priorité dans les plans d’attaque potentiels, pour augmenter le coût pour les agresseurs. Mais pour un moment encore, l’analyse des données est notre meilleure carte à jouer. Au vu de l’avancée de la recherche et des technologies de collecte, d’analyse et d’exploitation des données, c’est l’option la plus viable qui se présente à la défense pour tourner la question de la sécurité de l’information à son avantage.