Les nouvelles frontières de la cybersécurité

(Pour Alexandra Javaron)
07/08/20

Les entreprises, les institutions publiques et même les particuliers pourraient-ils payer cher la révolution informatique qui nous attend? Comment contrer les dangers qui en résultent?

On en parle avec Germano Matteuzzi de Division de la cybersécurité par Leonardo Spa.

La cybersécurité peut apparaître comme une préoccupation lointaine pour les utilisateurs de PC, de téléphones, de détecteurs GPS, de courriers électroniques, de réseaux sociaux et de réseaux. Pourtant, notre vie quotidienne, notre socialité informatisée renouvelée, facile et rapide, nous expose à des vulnérabilités nouvelles et plus complexes. Quels sont les risques majeurs de la société hyper-connectée?

Malheureusement, la cybersécurité de nos données n'est en aucun cas lointaine mais un problème très actuel. C'est précisément la prise de conscience qui fait défaut pour s'attaquer au problème à sa racine, évidemment à partir des institutions. La diffusion instantanée des informations sur le réseau signifie que les dangers sont également instantanés et cela entraîne une non-préparation systémique pour les utilisateurs du réseau qui sont incapables de se défendre. Tout comme lorsque vous conduisez une moto quand vous êtes jeune, la conduite est imprudente au début, alors la conscience des risques nous oblige à changer d'attitude.

De nombreuses entreprises modernes fondent leur activité sur des informations et des connaissances. Celles-ci leur permettent de créer des produits et des services, d'être compétitives sur le marché et d'être technologiquement avancées pour maintenir leur présence sur le marché mondial. La différence substantielle est que depuis que nous vivons la vague de la transformation numérique, ces informations, qu'il s'agisse de brevets, de projets, de propriété intellectuelle ou autres, on ne sait pas où elles sont stockées. Ou plutôt ils sont stockés et disponibles dans plus d'endroits et à plus de gens. Et donc ils sont moins protégés. De nombreuses entreprises qui utilisent la numérisation en viennent au changement sans préparation (car le rythme est très serré) et commettent souvent des erreurs qui compromettent de manière irréversible leur capacité à rivaliser.
Pensez simplement au nombre d'entreprises, par exemple, qui ont migré leurs infrastructures vers le cloud en pensant économiser de l'argent, puis ont perdu leur base de connaissances, en raison de simples erreurs techniques.

Pour les institutions publiques, il en va de même, sauf que cette information concerne principalement nous citoyens, donc les erreurs stratégiques et tactiques dans la numérisation des institutions nous touchent principalement, qui avons déjà nos problèmes de gestion de nos informations privées.

Cela semble anodin, mais la protection la plus efficace est de comprendre la valeur réelle de l'information pour ses propriétaires et de simuler ce qui pourrait se passer en cas de perte, de divulgation ou de compromission de celle-ci. La première règle est donc de comprendre ce qui se passe si l'information est à risque et si ce risque se matérialise, en considérant la conformité réglementaire parmi les risques. C'est pourquoi le marché de la sécurité est principalement divisé en deux grands domaines d'activité, l'un technique / juridique et l'autre principalement opérationnel.

En ce qui concerne la fraude, le vol de données, les attaques de ransomware, mais aussi le cyberespionnage et les attaques sur les infrastructures critiques, quels sont les indicateurs à observer pour comprendre si nous sommes attaqués? Le pays a-t-il la capacité d'analyser, de répondre et de gérer les cyberattaques? Quel rôle jouent les tests d'intrusion?

Il est vraiment difficile de comprendre si et comment nos informations sont attaquées, en particulier lorsque l'attaquant a tout intérêt à ne pas nous le faire savoir. Les cas les plus importants de cyberespionnage ont été détectés, pas tant pour les capacités de défense des victimes que pour des erreurs dans le maniement des cyberarmes et pour la perte de leur contrôle par les attaquants, voir un exemple pour tous les stuxnet. Les attaques de ransomwares se manifestent immédiatement par leur capacité destructrice, mais sont les moins dangereuses dans un scénario d'espionnage. Les acteurs du jeu déterminent le but de l'attaque, donc une attaque destructrice est rapide et ne montre aucun signe évident. Les attaques d'espionnage durent dans le temps et ont tendance à être silencieuses. Il est également vrai que tôt ou tard les données doivent être exfiltrées dans un scénario d'espionnage et garder sous contrôle les communications avec des entités externes peut donner les bonnes indications, ainsi que détecter de faibles anomalies sur les données de performance des machines, sur le trafic réseau ou autre. Toutes les cibles sont à risque, principalement des infrastructures critiques qui ont généralement aussi d'autres problèmes liés à l'obsolescence de leurs systèmes TIC qui amplifient les risques dans un scénario hyper-connecté.

Au cours des 5 dernières années, grâce également à la poussée des institutions européennes, le pays a fait de nombreux pas en avant vers la prise de conscience des cyberrisques et du contraste et de la réponse aux attaques. Il suffit de penser au cadre national, à l'organisation gouvernementale pour la cyber protection, au CSIRT Italie, à la mise en œuvre de la directive NIS, au RGPD, au cyber-périmètre national, aux mesures de sécurité minimales Agid et bien plus encore. Nous sommes sur la bonne voie mais nous devons nous dépêcher, car dans le cyberespace, le facteur temps est fondamental et les échelles de temps sont considérablement raccourcies.

Dans tout cela, cependant, être conscient que nos infrastructures sont vulnérables, et donc à risque, mais aussi compromettables, est important, car cela nous met en face de la preuve de savoir avec certitude qu'une éventuelle attaque réussirait. C'est la principale raison pour laquelle le marché des testeurs d'intrusion est toujours florissant, car ils fournissent des preuves de vulnérabilités qui, autrement, resteraient substantiellement sur le papier du rapport. Et surtout, ils permettent de mettre en évidence tout un ensemble de vulnérabilités qui souvent ne se terminent même pas dans les relations, à savoir humaines et sociales.

Catalogage des menaces, des acteurs malveillants et des motifs de toute nature. Comment utiliser l'intelligence artificielle? L'intelligence artificielle est-elle capable d'agréger ces données en fonction des besoins de l'analyste?

L'application de modèles mathématiques qui permettent l'apprentissage des phénomènes et des comportements et de tous les modèles d'IA dérivent de l'application de l'intelligence humaine. Sans vouloir déranger Asimov et la robotique, ce qui se fait aussi très souvent quand on parle de cyber, le nom lui-même dérive de l'utilisation du terme dans les romans cyberpunk, une chose est l'IA appliquée à une énorme quantité de données et que elle est basée sur des modèles mathématiques pour la recherche prédictive des phénomènes et des modèles, une autre est la conscience de soi des machines telle que nous la voyons dans les films et nous la retrouvons dans les romans, la recherche de l'humanité dans tous les sens.

Pour le premier, nous y travaillons déjà et les mathématiques nous aideront sûrement à pouvoir visualiser, agréger et présenter les analyses de données afin qu'entre elles apparaissent les relations que nous ne pouvons pas voir à première vue, pour la seconde, même si sur le terrain de la cybersécurité il existe déjà des modèles de comportement réactifs et artificiels, il faudra probablement attendre longtemps.

Dans ce premier scénario, l'IA dans ses applications de Machine Learning et Deep Learning utilisant des algorithmes basés sur des réseaux de neurones est capable d'analyser cette grande quantité de données et de la présenter sous un format lisible à un analyste qui peut ensuite prendre des décisions en travaillant sur un ensemble réduit d'informations. et analysable pour un esprit humain. L'IA peut également suggérer aux humains des actions issues de sa base de connaissances liées à ses algorithmes d'apprentissage et aux données disponibles, actions qui doivent être analysées avant d'être évaluées pour leur applicabilité. Et la qualité ou l'applicabilité de ces actions sont toujours liées à la qualité et à la quantité des données que nous fournissons. Je ne voudrais pas donner une vision trop anthropocentrique de la question mais pour l'instant l'IA est toujours un support à l'intelligence humaine.

Parallèlement à la diplomatie et au renseignement, la nécessité de développer des capacités de cyberdéfense et d'attaque est devenue décisive. Différents acteurs internationaux mènent de véritables cyberattaques pour obtenir des informations et éviter des représailles également grâce aux difficultés connues d'attribution. Parfois, les preuves de telles attaques semblent toutes pointer vers un seul pays, mais est-il possible que les indices soient laissés avec l'intention de rejeter la faute sur un pays ennemi?

L'attribution de la responsabilité d'attaques dans le cyberespace est en fait très compliquée, voire presque toujours impossible. Tout se passe en très peu de temps, il n'y a pas de barrières naturelles qui inhibent certaines actions, il n'y a pas de défenses efficaces pour les actifs numériques, il n'y a souvent pas de signes avant-coureurs.

C'est précisément pour cette raison que le cyberespace est la nouvelle frontière de la guerre, où différents types d'acteurs s'affrontent chaque jour, des acteurs allant des gouvernements nationaux ou des organisations pro-gouvernementales aux cybercriminels agissant à but lucratif ou déstabilisant; Les scénarios d'attaque changent radicalement de visage par rapport aux scénarios traditionnels, et les cyberopérations peuvent être menées et activées brusquement et avec très peu de signes avant-coureurs. Il n'y a plus de rassemblement d'armées, de preuves d'opérations ou de mobilisations aux frontières des États, de trajectoires de missiles à identifier, d'aéronefs au décollage ou de départ de navires, toutes les activités de préparation et de reconnaissance sont menées dans l'ombre et l'anonymat de la cyberespace, et l’attaque est impossible à détecter.

Il y a des cyber-guerres sur ce théâtre opérationnel qui durent depuis des années; par exemple, l'Inde et le Pakistan se font face dans le cyberespace depuis plus de 20 ans, la Russie et l'Ukraine se sont également affrontées sur ce front et les États-Unis, Israël et l'Arabie utilisent des cyberarmes contre l'Iran (et vice versa), récemment nous avons Opérations chinoises contre d'autres pays, Russie, Australie, etc.

Dans les listes des pays les mieux préparés pour faire face aux cyberattaques, on retrouve toujours les États-Unis, Israël mais aussi les pays de la zone Pacifique, en plus de la Russie et de la Chine.

L'attribution des responsabilités d'une cyberattaque est un processus complexe qui va au-delà de la simple identification des systèmes sources de l'attaque, également parce que ces systèmes, appartenant peut-être à un pays, peuvent avoir à leur tour fait l'objet d'attaques et de compromis par un autre pays et ainsi de suite. Rue. Les outils et techniques d'attaque sont principalement analysés, ce qui peut souvent conduire à quelques agents de menace ou à un seul et donc, aussi incertaine soit-elle, une attribution d'opérations peut être au moins risquée. Et évidemment oui, puisque ces techniques et outils sont connus, il est possible que certaines attaques soient menées en simulant qu'elles sont menées par des agents menaçants liés à d'autres pays dans le seul but de mettre la responsabilité de l'attaque sur celui-ci. dans un scénario de cyber-diplomatie qui s'ajoute au scénario traditionnel.

Le Centre d'études de l'armée a lancé il y a longtemps une étude sur les cybercapacités de l'armée italienne et a associé des institutions et des entreprises à ses travaux. Leonardo fait partie intégrante du groupe. Quel rôle Leonardo pourrait-il jouer dans le modèle global de détection et réponse souhaité par le CSE?

Leonardo est un partenaire historique de la défense dans tous les secteurs, notamment la cybersécurité. Je me souviens des premiers programmes cybernétiques, du CERT de l'armée et des capacités de cyberdéfense basés sur le cadre OTAN du C4D d'alors qui datent de 2010, dont nous parlons maintenant il y a presque 10 ans, avec lesquels les premières capacités de détection et de réponse ont toutes les évolutions ultérieures jusqu'à la réalisation d'une capacité opérationnelle complète et la mise en œuvre de capacités au sein du CIOC pour planifier et conduire des opérations sur le nouveau cyberdomaine. La division Cyber ​​Security a également collaboré avec les forces armées à la création d'importantes cybercapacités, en particulier l'armée et la marine. Leonardo a également atteint la pleine capacité opérationnelle de l'OTAN en mettant en œuvre le NCIRC, le centre de réponse aux incidents informatiques pour tous les bureaux et pays de l'OTAN.

Cependant, Leonardo est présent de manière importante sur le marché italien de la cybersécurité également dans le secteur civil, principalement dans le secteur gouvernemental où il obtient le contrat-cadre CONSIP SPC Cloud Lot 2 - Security, à travers lequel des services de sécurité gérés et des services professionnels sont fournis à tous. administrations publiques centrales et locales qui en font la demande. Il est également présent dans le secteur privé des infrastructures critiques et des grandes entreprises, où Leonardo fournit des services aux grandes entreprises des secteurs du pétrole et du gaz, de l'énergie, des services publics et des transports.

Ces dernières années, Leonardo a investi massivement dans les développements liés à l'intelligence des menaces dans le domaine du cyber, se dotant de ses propres outils technologiques développés en interne pour la recherche et l'analyse sur le web en utilisant le paradigme OSInt (Open Source Intelligence). En outre, le Leonardo Security Operation Center, actif depuis 2007, l'un des premiers fournisseurs de services de sécurité gérés italiens sur le marché, fournit des services de renseignement via cette plate-forme en pleine synergie avec les plus traditionnels de cybersécurité. Dans le domaine de la sécurité des communications, Leonardo a une présence historique, ayant travaillé et fourni des produits et services à la fois sur des domaines de chiffrement pour des informations classifiées et dans le domaine des communications sécurisées professionnelles utilisées par les forces de l'ordre et les services d'urgence. Enfin, Leonardo est une société entièrement italienne détenue par l'État, ce qui la place dans une position particulièrement privilégiée pour être l'acteur de référence de la cybersécurité italienne sur les marchés militaire et civil.

Si, pour les opérations dans le domaine cybernétique, le rôle prédominant doit être joué par le COR récemment établi, il est également vrai que chaque force armée, suivant le concept de capacité en réseau (NEC), doit étendre ses capacités en utilisant des outils cybernétiques pour soutenir les opérations traditionnelles. . Il ne s'agit donc pas uniquement de cyberopérations mais de cyber technologies pour soutenir les opérations dans les domaines traditionnels.

Leonardo peut ainsi mettre à disposition de l'armée, mais aussi des autres forces armées, toutes les compétences et connaissances relatives à la sécurité acquises ces dernières années dans les domaines militaire et civil, et l'accompagner dans l'acquisition de ces cybercapacités non encore pleinement mises en œuvre.