Par définition, le survivalisme est un terme qui désigne les activités de certains groupes qui veulent se préparer à une catastrophe locale ou globale dans l’avenir. Dans ce sens, la Loi de la Programmation Militaire, abrégée LPM, appliquée à la sécurité informatique, a pour but de préparer les organismes d’importance vitale (OIV) à une éventuelle cyber-apocalypse.
1. Guide de survie pour les OIV
Par définition, le survivalisme est un terme qui désigne les activités de certains groupes qui veulent se préparer à une catastrophe locale ou globale
dans l’avenir. Dans ce sens, la Loi de la Programmation Militaire, abrégée LPM, appliquée à la sécurité informatique, a pour but de préparer les
organismes d’importance vitale (OIV) à une éventuelle cyber-apocalypse.
Adoptée en décembre 2013, la Loi de Programmation Militaire est une loi nationale visant à établir un budget pour les 6 prochaines années des
dépenses de l’état en matière militaire. De plus, la LPM imposeaux OIV de nouvelles obligations en matière de cybersécuritépour survivre face aux
attaques informatiques (nous en avions parlébrièvement dans l’article « NIS: L’Europese doted’un plan de bataille contre le piratage informatique »).
Même sinous applaudissons la démarche de l’Union Européenne avec la directive « Network and Information Security », la France avait déjà ouvert
le chemin pour la protection des infrastructures critiques en 2008 avec un Livre blanc sur la Défense et la sécurité nationale publiépar le Président de
la République. Ce moment marquant pour la cybersécurité française nous a distingué comme étant le premier état à traiter ce sujet comme un domaine
de souveraineté nationale (c’est à dire que les représentants de l’Etat détentes l’autorité suprême).
Un an plus tard, l’Agence Nationale de Sécurité des Systèmes d’Informations (ANSSI) a été créé, dans l’intérêt de mettre en application au niveau
opérationnel les recommandations fai
tes dans le livre blanc et, plus tard, celles de la LPM. C’est pour cette raison qu’en 2015, l’ANSSI a déterminé les 200 organisations identifiées par
l’état comme ayant des activités d’importances vitales et soumises à des contraintes particulières. Les décrets publiés dans la même période ont
augmenté non seulement les responsabilités des OIV en matière de sécurité informatique, mais aussi les exigences concernant les prestataires de
services et les éditeurs de logiciels informatiques.
Malgré que la liste des OIV reste confidentielle, nous savons qu’elle concerne de nombreux secteurs d’activité. C’est pourquoi l’Agence Nationale
s’est lancé dans une démarche d’ajustement des contraintes règlementaires en fonction de chaque domaine d’activité. Ce travail vient de seconcrétiser
cette année avec le premier texte publié au 1er
juillet concernant les techniques de survies pour les OIV (lire sur le Journal Official), ayant pour cible
les secteurs « de la protection des citoyens » : l’eau, la santé et l’alimentation.
Ces trois types d’organismes sensibles se doivent de localiser les régions critiques au sein de leur réseaux informatique – c’est à dire, les systèmes
d’information dont un cyber-attaquepeux avoir un impact dommageable sur la société. Guillaume Poupard, directeur général de l’ANSSI a indiqué
qu’un deuxième texte devrait faire son apparition à la rentrée.
2. Voilà en quelques points le guide de survie dans l’environnement cyber pour les secteurs susmentionnés :
Identification du SIIV (systèmed’information d’importance vitale) et enregistrement à travers un dossier et un audit mené par un fournisseur
des services ou des logiciels certifié ANSSI (dossier valable pour une durée de 3 ans) ;
Création d’une cartographie du système d’informations ;
Mise à jour des outils informatiques ;
Mise en place des outils adaptés pour la gestion de logs, en corrélation avec un système de corrélation et d’analyse des logs ;
Mise en place des protocoles et des solutions capables de détecter les incidents informatiques à travers une analyse de flux de données ;
Désignation d’un service de permanence en lien avec l’ANSSI ;
Mise en place des protocoles et des solutions capables de contourner ou éviter les attaques informatiques ;
Connaissance des politiques d’authentification et concernant les droits d’accès.
Si les réseaux informatiques des secteurs identifié dans ce premier texte étaient victimes d’une cyberattaque, les conséquences pour la France
pourraient être dramatiques. C’est pourquoi ITrust, sociétéexpert en conseil informatique et éditeur de solutions s’engage à accompagner les OIV et
à leur apprendre les techniques de survie appropriées à leur type d’activité.
Lien :
https://www.itrust.fr/guide-survie-pour-les-oiv
3. Alors, par où commencer ? Eh bien, d’abord, pour un effet plus dramatique, enfilez votre costume d’Iron Man.
Ensuite, essayez de définir clairement votre situation. Avez-vous simplement besoin de détecter les utilisateurs
compromis ou bien craignez vous d’être attaqué ? De toute façon, un cas d’utilisation spécifique doit être
développée. A partir de là, les données nécessaires pour résoudre le problème doivent être identifiées. Si vous
chassez des menaces persistantes avancées il va alors falloir rechercher les informations en ce qui concerne les
infrastructures de sécurité et de réseau existantes. Assurez-vous de combiner plusieurs sources (pas
nécessairement plus, juste diversifiées) pour obtenir une vue à 360 ° de l’activité de vos utilisateurs. Si votre
appareil d’analyse d’apprentissage est multidimensionnel, vous devriez être capable d’attraper des logiciels
malveillants au début de la kill-chain et de repérer des anomalies telles que l’escalade de privilèges, le
mouvement latéral, l’exfiltration de données, etc.
Enfin, soyez patients. La tâche essentielle de l’apprentissage automatique étant de reproduire et de prédire, il
faut du temps. Le système a besoin de recueillir suffisamment de données et de nourrir ses moteurs d’analyse
comportementale afin de parvenir à une classification précise entre les comportements normaux et anormaux.
A partir d’un échantillon de bon code et l’un de mauvais code, la ML est en mesure de les filtres à l’aide
d’algorithmes statistiques et, à travers de multiples itérations, elle apprend lentement à distinguer entre les deux.
Nous disons « lentement », mais il est en fait incroyablement rapide par rapport aux technologies du passé : les
menaces connues sont identifiées presque instantanément à l’aide de bases de connaissances existantes, alors
que dans le cas de menaces inconnues, il est une question de jours (1 semaine avec Reveelium, lire notre
article ici). Mais rappelez-vous – il y a des comportements que nous ne connaissons toujours pas et, en tant que
tel, nous ne pouvons pas les enseigner au système. En outre, alors que les logiciels malveillants peuvent être
prédit de cette façon avec un haut degré de probabilité, c’est toujours l’homme portant le costume d’Iron Man
qui a le dernier mot en la matière.
Liens :
https://www.reveelium.com/fr/big-question-in-cybersecurity/
https://www.itrust.fr/la-big-question-du-big-data/