Survivre aux attaques : la cyber-résilience

06/07/21

Comme rappelé à plusieurs reprises dans ces pages, et réitéré il y a quelques jours par l'Autorité déléguée de Système d'information pour la sécurité de la République, L'Italie est en retard sur de nombreux pays européens dans l'adoption d'une structure nationale pour la sécurité de l'information.

Malgré l'immensité de l'impact d'une cyberattaque causée par la forte interconnexion des systèmes et des applications qui reflète l'interaction entre les personnes, les entreprises et les organisations, tout le monde peut le voir. l'impression est que beaucoup considèrent encore la cyberattaque comme un événement dont les effets sont limités et les responsabilités facilement attribuables. Souviens-toi juste de ça comme d'une attaque ransomware, pas excessivement sophistiqué, a forcé le blocus de l'un des pipelines les plus importants des États-Unis avec des répercussions sur des milliers d'entreprises et des millions de personnes.

La méconnaissance des conséquences d'une cyberattaque est à l'origine de l'inertie avec laquelle ce dossier est traité. Et c'est précisément sur cette conscience qu'un de nos représentants faisant autorité Département des informations de sécurité a récemment déclaré - avec raison - que nous devons repenser la façon dont nous organisons et gérons la sécurité du cyberdomaine : Il faut un saut qualitatif qui ne vise plus seulement la sécurité des systèmes et des réseaux analysés en tant qu'entités autonomes, mais qui, en combinaison avec cela, vise à assurer leur résilience en cas d'attaque efficace. Ajoutons que dans le contexte italien il faut avant même renforcer tous les systèmes et réseaux pour éliminer toutes les vulnérabilités et faiblesses pour lesquelles des remèdes existent et qui, si elles ne sont pas éliminées, constituent la talon d'Achille ce qui peut rendre inefficaces des mesures de défense même sophistiquées.

Essayons de définir la résilience dans le domaine cyber à la lumière des constructions typiques du monde académique et des preuves de la gestion des risques des entreprises.

Les systèmes d'information et de contrôle industriel, comme ce qui est arrivé aux systèmes de défense et de sécurité des nations, ont clairement connu la susceptibilité aux cybermenaces avancées. Les nombreux incidents ont en effet montré qu'il n'est pas possible d'être sûr que les ressources informatiques des organisations, même conçues et entretenues selon les meilleurs standards de sécurité, pourront fonctionner sous l'attaque d'adversaires sophistiqués et bien équipés qui employer combinaisons de capacités cyber, militaire et renseignement.

Le défi futur doit donc être relevé en partant de l'hypothèse qu'en utilisant - ou en fonction - des ressources du réseau, il existe un risque élevé que quelqu'un franchisse les défenses du périmètre et s'implante de manière plus ou moins évidente et plus ou moins durable. . , dans le périmètre de sécurité comme un cancer qui grandit à l'intérieur d'un être vivant.

De là découle la considération qu'il ne suffit pas du tout de se limiter à la sécurisation individuelle des biens, que tôt ou tard - ce n'est qu'une question de temps - ils seront « crevés » ; mais qu'il faut au contraire aller au-delà et créer des réseaux, des systèmes d'information et des services informatiques résilients, c'est-à-dire capables de anticiper, résister, recuperare e s'adapter dans des conditions défavorables, de stress, d'attaques et de compromis : un peu comme le corps humain, qui présente oui un système immunitaire capable d'absorber les risques environnementaux et de fournir des mécanismes de défense pour rester en bonne santé, mais qui a aussi, si nécessaire, systèmes de réparation automobile se remettre de maladies et de blessures; et que, de plus, lorsqu'il ne retrouve pas l'état de santé d'avant la maladie, il est capable de s'adapter à la condition de survenance.

Depuis un certain temps, le monde académique propose un modèle conceptuel qui permet le développement de cybersystèmes résilients sur le modèle du « corps humain » susmentionné et qui crée des compétences de résilience dès les premières étapes du développement du cycle de vie : le soi-disant résilience par conception.

Il Institut national de normalisation et de technologie, en fait, il a défini un cadre du génie informatique à partir de la définition de quatre compétences fondamentales, à savoir : Anticipation, c'est-à-dire la capacité d'anticiper les problèmes ; celui de Résister c'est-à-dire résister au stress, assurer les missions ou fonctions jugées essentielles ; celui de Récupérer, c'est-à-dire la restauration de ce dernier, s'il est impacté pendant ou après l'accident ; et enfin, Adapter, la capacité de changer de mission ou de fonctions à mesure que les aspects techniques ou opérationnels changent ou que la menace évolue.

Pour chacune de ces capacités, un large éventail d'objectifs est proposé à poursuivre : Prévenir, c'est-à-dire la prévention des attaques, pour empêcher leur exécution ; Préparer, c'est-à-dire émettre des hypothèses et tester une série de pistes d'action pour faire face à l'adversité ; Continuer, c'est-à-dire maximiser la durée et la faisabilité de la mission critique d'un système pendant l'incident ; Contraindre, c'est-à-dire limiter les dégâts ; Reconstituer, c'est-à-dire restaurer les fonctions essentielles ; Comprendre, c'est-à-dire comprendre ce qui se passe, avoir une représentation claire, incident pendant, sur l'état des ressources impactées et sur les dépendances qui existent avec d'autres ressources ; Transformer, c'est-à-dire modifier la mission ou la fonction critique pour l'adapter au changement de contexte opérationnel, technique ou de menace ; et enfin Ré-architecte, c'est-à-dire modifier les architectures pour gérer l'adversité et mieux faire face aux changements environnementaux.

Mais si les quatre capacités et les huit objectifs proposés représentent le « quoi » faire pour obtenir des systèmes résilients sur le réseau, le « comment » est déterminé par la définition de techniques spécifiques de cyber-résilience, à mettre en œuvre avec différentes approches de mise en œuvre et selon principes de conception définis. , dont beaucoup font l'objet de recherche et développement dans le cadre d'activités de collaboration entre les universités, les entreprises et l'administration publique.

Les techniques sont différentes. Seuls quelques-uns sont cités à titre d'exemple, faisant référence à l'analyse approfondie nécessaire.

Cela va deSurveillance analytique qui assure la surveillance et l'analyse des propriétés du système ou du comportement de l'utilisateur, al Conscience contextuelle avec lequel l'efficacité des ressources critiques du système est surveillée en fonction des menaces en cours et des actions de réponse.

D'autres techniques visent plutôt délibérément à contrecarrer les actions de l'adversaire, telles que Tromperie - des méthodes de tromperie avec lesquelles il est destiné à induire en erreur, à confondre l'adversaire, par exemple en lui cachant des ressources critiques ou en exposant des ressources secrètement polluées - ou Imprévisibilité, avec laquelle des changements se produisent dans le système de manière causale ou imprévisible.

D'autres méthodes permettent aux mécanismes de protection de fonctionner de manière coordonnée et efficace - Protection coordonnée - soit ils facilitent l'utilisation d'approches d'hétérogénéité pour minimiser les impacts des différentes menaces qui exploitent des vulnérabilités communes, comme le cas des techniques dites Diversité.

Des techniques préventives telles que la Positionnement dynamique vous permettre de distribuer ou de réaffecter dynamiquement des fonctionnalités ou des ressources système pour les retirer de l'attention de l'attaquant ; ou de Intégrité justifiée qui permettent de vérifier si des éléments critiques du système ont été compromis.

Enfin, d'autres assurent la fonctionnalité de redondance ou de segmentation.

Bref, une fois de plus les solutions techniques, les approches conceptuelles et les standards de qualité sont présents et bien encadrés par le monde académique et réglementaire. Une impulsion à leur contextualisation dans les différents territoires aura également lieu grâce à la mise en place du réseau de Pôles européens d'innovation numérique qui, grâce à la mise en place de consortiums régionaux entre universités, centres de recherche, entreprises et administration publique, apportera un soutien direct aux petites et moyennes entreprises, les plus exposées aux risques et dont la fragilité peut devenir une cause de faiblesse de l'ensemble du pays système.

C'est la capacité de gouvernance des organisations publiques et privées à comprendre les nouvelles menaces ; être clair sur les actifs d'intérêt et les besoins de sécurité et de résilience associés ; comprendre la complexité croissante du cinquième domaine pour gérer efficacement l'incertitude associée à cette complexité ; intégrer les exigences, les fonctions et les services de sécurité dans les processus de gestion et techniques du cycle de vie du développement des systèmes ; et enfin donner la priorité à la conception et à la mise en œuvre de systèmes sécurisés et résilients capables de protéger les activités des parties intéressées.

Orazio Danilo Russo et Giorgio Giacinto

Pour en savoir plus:

https://formiche.net/2021/06/agenzia-cyber-tempo-scaduto-lallarme-di-gabrielli/

https://www.agi.it/economia/news/2021-05-11/colonial-pipeline-ransomware-12504743/

https://www.cybersecitalia.it/cybersecurity-roberto-baldoni-bisogna-passare-alla-resilience-by-design/12483/

https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2391

https://digital-strategy.ec.europa.eu/en/activities/edihs

https://nsarchive2.gwu.edu/NSAEBB/NSAEBB424/docs/Cyber-081.pdf

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2.pdf

Photo : US Army / US Air Force / web