Internet, les réseaux et systèmes d’information sont devenus un véritable champ de bataille. Chaque acteur doit être en capacité de faire face à une cybermenace, à la fois proliférante et très évolutive, dans un contexte où l’attaquant conserve encore un net avantage sur le défenseur.
Dans le meilleur des cas, la mise en service d’un SI s’accompagne d’actions qui ont préalablement permis d’évaluer son niveau de sécurité et ont conclu, au regard des risques encourus que ce dernier
était suffisant.
En revanche, si rien n’est réalisé après la mise en service, la découverte de nouvelles vulnérabilités liées aux composants logiciels utilisés, ainsi que l’apparition de nouveaux malwares
inondant les réseaux, dégradent grandement et rapidement le niveau de sécurité du SI.
Comment assurer au SI une protection optimale répondant à ses besoins en sécurité et ses propres menaces afin de maintenir son niveau de sécurité après sa mise en service ?
Le Maintien en Condition de Sécurité, première étape de l’anticipation active
La clé de cette problématique : l’anticipation active. Cette dernière permet de maintenir dans la durée un niveau de sécurité donné. Anticiper constitue une nécessité absolue pour tout
acteur qui souhaite conserver une sécurité optimale.
La première brique de ce processus d’anticipation active, c’est le Maintien en Condition de Sécurité (MCS). Son objectif : assurer le niveau de sécurité d’un système ou d’un projet durant
toutes les phases de son cycle de vie au travers d’une gestion maîtrisée et pérenne des risques liés aux vulnérabilités logicielles. A ce titre, le MCS est présenté comme indispensable dans
la Politique de sécurité des systèmes d’information de l’Etat (PSSIE), qui fixe les règles de protection applicables aux SI de l’Etat.
Comment fonctionne le MCS ?
Pour répondre à son objectif, le MCS recense et agrège l’ensemble des vulnérabilités publiées par les éditeurs de logiciels et les chercheurs en sécurité pour, ensuite, proposer des
mesures de protection.
Après avoir détecté une nouvelle vulnérabilité, les analystes en prennent connaissance afin de déterminer si le SI ou le projet surveillé est impacté, et le cas échéant, dans quelle
mesure.
Ensuite, le MCS attribue une note de criticité d’une vulnérabilité qui suit la norme CVSS (Common Vulnerability Scoring System).
Elle se décompose en trois parties :
- La première note de base qualifie la criticité générale de la vulnérabilité.
- La deuxième note, dite “temporelle”, prend en compte l’existence d’une solution de remédiation et l’existence d’un outil public pour exploiter la vulnérabilité.
- Une dernière note, dite “environnementale”, évalue la criticité d’une vulnérabilité dans le contexte du système d’information. Ce score sera donc différent d’une organisation
à une autre.
Les équipes du MCS peuvent rédiger un scénario d’attaque et présenter si possible une solution de remédiation ou de contournement de la vulnérabilité.
Le rôle du MCS dans l’exemple de WannaCry
Afin d’illustrer l’apport des méthodes « en anticipation », prenons l’exemple de WannaCry. Ce ransomware qui avait été utilisé pour mener une cyberattaque mondiale en 2017 s’appuyait sur
le système d’exploitation obsolète de Microsoft, Windows XP.
58 jours avant l’attaque mondiale, Microsoft publiait un bulletin de sécurité. Le lendemain, une équipe de MCS transmettait aux utilisateurs impactés par la vulnérabilité un premier bulletin de sécurité,
en précisant que cette vulnérabilité était de forte criticité et, donc, qu’il était important de la surveiller.
Cinq jours plus tard, une équipe de MCS a envoyé les différents correctifs (en fonction des versions utilisées par les utilisateurs) qu’il fallait appliquer sur son système aux utilisateurs du service de MCS.
Un mois après, le 15 avril 2017, un exploit (outil d’exploitation de la vulnérabilité) était rendu public. Cet outil appartenait à « The Shadow Brokers », groupe de hackers lié à la NSA
(National Security Agency). Le lendemain, cet exploit fut analysé et les équipes de MCS ont prévenu les utilisateurs impactés en précisant qu’il était fortement conseillé de corriger cette vulnérabilité.
Le 12 mai 2017, l’attaque mondiale apparaît. Les équipes de MCS se mobilisent et préviennent tous les utilisateurs impactés en leur précisant qu’il s’agit d’une attaque imminente. Quelques minutes
après, le bulletin est réédité et passe en criticité maximale.
Dans le cas de Wannacry, les équipes du MCS ont permis aux DSI d’être préparés à l’attaque, de réagir rapidement et ainsi d’éviter une situation de crise.
En ajoutant des données relatives au contexte de l’utilisation des vulnérabilités, le Cyber Threat Intelligence (CTI) aurait permis d’identifier des tendances afin de mieux anticiper et se défendre.
En 2019, le combat numérique entre attaquants et défenseurs continue d’évoluer : prendre en compte le contexte devient essentiel.
Anticiper les cybermenaces en les contextualisant
Désormais, l’anticipation active croisée de la menace cyber et des vulnérabilités exploitables dans un contexte particulier est incontournable pour être en capacité de répondre efficacement aux risques
cyber.
Il est indispensable de connaître parfaitement les cybermenaces et de savoir les qualifier dans le contexte particulier du SI dont il faut assurer la sécurité : à ce jour, il s’agit d’une des limites principales
du MCS. Les nouvelles offres reliant CTI et MCS des systèmes d’information répondent à cette problématique.
Il faut désormais enrichir la description de ces vulnérabilités par une analyse la plus contextualisée possible. L’objectif : proposer un service plus complet qui apporte une aide à la décision.
Qu’apporte la Cyber Threat Intelligence au MCS ?
La CTI, une discipline fondée sur des techniques du renseignement, permet ainsi de collecter et organiser les informations liées aux cyber-attaques, aux cyber-attaquants, à leurs motivations, leurs intentions et leurs méthodes.
Grâce à ces informations, certains facteurs apparaissent comme étant nécessaires aux analyses de MCS. Par exemple, la géographie est un élément de contexte intéressant : une vulnérabilité
exploitée en Asie est contextuellement moins critique pour les utilisateurs européens par exemple.
Dans ce cadre, les composantes suivantes ont un apport significatif dans les travaux d’analyses de MCS :
- Exploitation de la vulnérabilité dans le monde
- Groupes d’attaquants qui utilisent la vulnérabilité.
- Secteurs d’activité impactés par l’utilisation de la vulnérabilité.
- Localisations géographiques impactées par l’utilisation de la vulnérabilité.
- « Patterns d’attaque » utilisant la vulnérabilité.
Toutes ces composantes, une fois confrontées aux éléments fournis par l’utilisateur, permettent de réévaluer la note précédemment fournie, de mieux classifier les vulnérabilités pour
ensuite permettre aux utilisateurs de savoir celles qui sont plus susceptibles de les toucher. C’est un outil d’aide à la décision.
Les offres de Cyber Threat Intelligence du marché rendent des services qui s’avèrent exploitables par les SOC (Security Operation Center) et les CERT essentiellement.
Jusqu’ici, il manquait aux responsables de SI une articulation entre, d’une part, les offres de CTI du marché et, d’autre part, les outils de Vulnerability Management. En reliant CMS et CTI, les responsables de SI peuvent désormais
optimiser la prise en compte des cybermenaces.