« La défense ne suffit plus à assurer la survie des organisations », assène le Conseil Général de l’Économie dans son rapport sur la cyberrésilience, publié en janvier dernier. Et il a raison : en matière cyber trop d’entreprises ne considèrent encore que l’axe défensif, au détriment de l’approche plus réaliste qui considère que la crise est inévitable… et qu’il faut donc s’y préparer!
Excès d’orgueil, naïveté, enjeux politiques internes? Peu importe. En tout cas, la réalité finit toujours par rattraper l’autruche et les récentes attaques NotPetya ont probablement fini par convaincre que nul n’est à l’abri : 1 milliard de dollars de pertes cumulées par des groupes internationaux frappés en dépit d’investissements majeurs en cybersécurité. Et voilà donc que l’on reparle de cyberrésilience!
La cyber quoi?
La cyberrésilience est l’incarnation technologique du proverbe selon lequel « le roseau plie, mais ne rompt pas » : il s’agit d’accepter le fait que l’entreprise sera inévitablement un jour frappée par une crise cyber majeure, que ses défenses auront échouées, que son système d’information sera neutralisé… et qu’il faudra malgré tout continuer à travailler pour survivre.
« Et le plan de continuité d’activité, alors? », crieront probablement à raison les informaticiens. Le PRA (plan de reprise d’activité) et le PCA (plan de continuité d’activité) sont évidemment des rouages essentiels de la cyberrésilience « métier » de l’entreprise. Mais ils sont généralement conçus pour pallier une menace accidentelle (incendie, intempéries) ou non technologique (risque social), dans laquelle aucune malveillance informatique ne s’exerce. Ils s’appuient donc généralement sur des ressources informatiques présumées de confiance que l’on peut rebrancher immédiatement pour remplacer celles parties en fumée.
Or ce n’est plus tout à fait le cas désormais : une crise cyber d’origine malveillante introduit deux éléments nouveaux qui viennent rendre difficile, sinon impossible, l’application d’un PCA/PRA traditionnel :
- L’intrus est peut-être présent depuis longtemps. Il a pu saboter de nombreux systèmes et détruire ou contaminer les sauvegardes depuis plusieurs mois (certains virus le font déjà automatiquement)
- Il est impossible de savoir à quels systèmes faire confiance. Tout outil informatique connecté au réseau est potentiellement compromis, y compris les solutions de gestion de crise ou les outils mêmes du PCA/PRA
- Et même si l’on parvient à « remonter » une application critique pour commencer à travailler, rien ne garantit qu’elle ne soit pas compromise
Il s’agit donc d’une crise de confiance majeure qui exige de mettre en œuvre une tout autre approche, faite de doute permanent, de cloisonnement strict, de contrôles multiples et d’une progression lente et prudente qui s’apparente à la reconquête d’un territoire urbain perdu.
Et c’est justement dans cet environnement incertain que la Threat Intelligence excelle!
La threat quoi?
La Threat Intelligence, ou renseignement sur la menace, est une discipline relativement récente dans le monde civil. Il s’agit d’adapter certaines des techniques issues du monde de l’analyse du renseignement au monde de l’entreprise. Le marché propose plusieurs types d’offres en la matière, mais il s’agit toujours d’aider l’entreprise à mieux connaître ses menaces spécifiques (groupes d’attaquants, techniques d'attaques, cibles) pour mieux les anticiper.
En particulier, un bon partenaire de Threat Intelligence aura une connaissance approfondie des dernières méthodes d’attaques, des codes malveillants les plus furtifs et des « signatures » des principaux groupes d’attaquants (leurs TTPs, pour Tactics, Techniques and Procedures).
Il connaîtra donc le « qui » (les groupes d’attaquants les plus actifs), le « quoi » (les dernières vulnérabilités, les cibles du moment), le « comment » (les dernières méthodes d’intrusion, les derniers codes malveillants) et parfois même le « pourquoi » (grâce à une veille régulière des forums d’échanges des pirates et, à l’occasion, des entretiens sous couverture)
Dans le cadre de la cyberrésilience la Threat Intelligence sera donc essentielle pour lever le doute. Peut-on restaurer les sauvegardes du mois dernier? Peut-on connecter les postes de travail de secours au réseau? Quelles informations ont-elles fuité? Qu’est-ce que le virus déposé par l’attaquant est-il capable de faire? Où peut-il se propager?
C’est là que la Threat Intelligence intervient : c’est une base de connaissances inestimable, souvent alimentées depuis des années par des experts. A titre d'exemple, un acteur tel ESET, qui propose un tel service, protège quotidiennement de manière active 600 millions de postes de travail dans le monde, et il voit donc passer l’essentiel des nouveaux codes malveillants dès leur apparition. En outre, depuis 30 ans, ses équipes d’experts analysent toutes les techniques et suivent les groupes de pirates, car c’est essentiel à leur travail depuis toujours (finalement, pour un éditeur d’antivirus, faire de la Threat Intelligence c’est comme faire de la prose pour Monsieur Jourdain : il en fait depuis toujours, même s'il n'en parlait pas jusqu'à présent!)
En définitive, les nouvelles crises cyber plongent l’entreprise dans le noir, au cœur d’une formidable crise de confiance. La cyberrésilience, c’est d’abord y voir clair. Obtenir des réponses afin d’être en mesure d’avancer pas à pas vers une reconstruction maîtrisée. Et la Threat Intelligence est l’outil le mieux adapté pour fournir de telles réponses. Et cela, y compris lors de la phase de préparation du programme de résilience : car il sera toujours plus facile de se relever si l’on sait ce qui est le plus susceptible de nous faire chuter!