Passer au contenu

La cyberdéfense, un édifice collectif

Rémy Jimenez
22 Septembre 2022

Toutes les entreprises et les administrations publiques sont aujourd’hui des cibles potentielles pour des assaillants très bien organisés, disposant parfois de ressources considérables et capables de lancer des attaques extrêmement sophistiquées, mais aussi pour des groupes délictueux démarqués ou proxy fighters qui disposent d’outils d’attaque largement démocratisés et accessibles.

Leur habileté et leur efficacité sont redoutables, et ils savent repérer et exploiter la moindre faille technique, organisationnelle ou humaine dans les systèmes ciblés.

Face à de telles menaces, les solutions techniques usuelles ne suffisent plus. Les organisations doivent bâtir une défense structurée autour d’un écosystème dynamique de partage de la connaissance regroupant les savoir-faire des équipes CERT (Computer Emergency Response Team et SOC (Security Operations Center) mobilisant  les compétences clés suivantes : le renseignement en cybermenaces (CTI, Cyber Threat Intelligence), les équipes d’intervention (SWAT, Security Worldwide Assistance Team), les opérations de surveillance, et les savoir-faire métier des équipes RUN sur l’ingénierie en cybersécurité, l’automatisation et le traitement des évènements par les risques.

Le renseignement, la pierre angulaire

Le renseignement en cybermenaces est la pierre angulaire du dispositif, fournissant une connaissance optimale des modes opératoires des adversaires. C’est cela qui permettra de détecter très tôt une offensive, voire de l’anticiper, et de lui opposer une réponse appropriée. La CTI collecte d’innombrables informations sur les vulnérabilités, les incidents répertoriés, les faits d’actualité, à partir de sources internes (équipes d’intervention et de surveillance), publiques (réseaux sociaux, presse…), semi-publiques (flux de données…) ou fermées (dark et deep web). Puis ces éléments bruts, épars et hétérogènes, sont recoupés et analysés pour être transformés en renseignements actionnables utilisés par les autres équipes du SOC. Pour ce travail d’analyse, l’expertise humaine est bien-sûr irremplaçable mais la technologie joue aussi un rôle croissant. Grâce à l’intelligence artificielle, les Threat Intelligence Platforms (TIP) peuvent ainsi déceler plus tôt et plus vite des signaux faibles, et ainsi rééquilibrer le rapport de force entre la défense et l’attaque, qui a toujours l’avantage de l’initiative.

L’ingénierie, un travail d’orfèvre

Les renseignements de la cellule CTI sur les comportements d’attaque ainsi que les retours d’expérience terrain de l’équipe de réponse à incident constituent la matière première des équipes d’ingénierie, qui vont les utiliser pour bâtir des règles de détection sur-mesure qui seront proposées et implémentées dans les outils de surveillance (SIEM, Security Information and Event Management). Il s’agit de réunir les conditions suffisamment extensibles pour intercepter d’éventuelles variantes de l’attaque, mais suffisamment restrictives pour ne pas multiplier inutilement les faux positifs. Ce travail d’orfèvre traduit les renseignements sur les cybermenaces en règles automatisées et confère en conséquence une capacité unique à détecter et bloquer au plus tôt les comportements malveillants, sans dégâts, à moindre coût, et sans dépendre uniquement d’algorithmes automatisés.

Les opérations à l’ère de l’industrialisation

Les opérations de surveillance et d’alerte seront plus efficaces grâce aux renseignements établis par l’équipe CTI, que ce soit dans le traitement des évènements, l’évaluation de la menace ou la qualité de l’information fournie aux clients. Là encore, la technologie est une alliée essentielle car, face à la croissance exponentielle des volumes de données à traiter, elle permet d’automatiser et d’industrialiser la défense tout en déchargeant le premier échelon de détection pour plus d’efficience. Les analystes peuvent ainsi se concentrer sur l’analyse et sur une approche centrée autour du risque.

Le SWAT, une unité d’intervention d’élite

Enfin, les équipes d’intervention SWAT sont des unités d’experts forensiques projetables dans le monde entier à la demande du client, en général lorsqu’il est confronté à un incident très sérieux comme un ransomware particulièrement virulent ou une affaire d’espionnage mais aussi pour mener à bien des missions de formation technique ou de prévention. Le SWAT possède des capacités de réponse immédiate à l’incident et d’enquête sur son origine. Pour cela, il s’appuie sur des outils d’investigation reconnus par les forces de l’ordre, ce qui permet aux preuves collectées d’être recevables devant la justice. Lors de ses missions de réponses à incident et les threat hunting, le SWAT peut s’appuyer sur la documentation fournie par la CTI pour identifier l’attaquant grâce à la connaissance des techniques généralement utilisées par celui-ci. Le SWAT formule aussi des recommandations au client pour éviter qu’un incident similaire ne se reproduise. Enfin, si le mode opératoire était inédit, ses constatations sont transmises à la cellule CTI qui les ajoute à sa base de renseignement.

Le client, le cinquième mousquetaire

À ces quatre briques, il faut en ajouter une cinquième, essentielle : le client lui-même. Aucune stratégie de défense ne peut être efficace sans sa participation et sa préparation active. L’entreprise seule possède les éléments de contexte techniques et métiers nécessaires pour avoir une vision complète et exacte des menaces, et pour bâtir le dispositif de prévention approprié. Organisé autour du framework de référence MITRE ATT&CK, ce travail doit se faire dans une logique de coopération et de partage, ou la confiance établie est essentielle pour être en mesure de pouvoir partager des informations sensibles

L’accompagnement des clients sur ces sujets sera d’autant plus impactant qu’il peut se fonder sur une richesse unique de sources d’information sur les incidents de cybersécurité, et des compétences pointues et complémentaires pour améliorer encore la compréhension des menaces : test d’intrusion, renseignement géopolitique, data scientists, analystes… .

Le facteur humain, le ciment de la muraille

Cependant, ce qui fera vraiment la différence et, en définitif, toute la solidité du dispositif de défense, c’est le mortier qui assurera la jonction entre les quatre grandes briques d’expertise. Il est indispensable d’avoir des approches cohérentes, des données et un vocabulaire commun, des instances formelles et informelles facilitant le partage d’informations.
Chez Capgemini, il existe des communautés transverses thématiques auxquelles contribuent des membres de chaque équipe au niveau mondial. Des ateliers communs sont régulièrement organisés, et le SWAT et la CTI proposent dans ce cadre des formations continues aux analystes. Enfin, il existe plusieurs passerelles d’évolution de carrière, ce qui permet de préserver et de diffuser les compétences, et de resserrer les liens entre les services. Pour bâtir une défense solide face aux nouvelles menaces, une organisation dynamique, décloisonnée, où l’on se connaît et où l’on se parle, est incontestablement un atout clé dans notre recherche de l’excellence opérationnelle.

Trois points à retenir

  • Face à l’aggravation des menaces, la cybersécurité ne peut dépendre que de solutions techniques, elle doit aussi reposer sur un écosystème visant à mieux connaître le comportement des assaillants pour y répondre collectivement.
  • Quatre expertises clés forment cette ligne de défense : le renseignement en cybermenaces, les unités d’intervention, l’ingénierie en cybersécurité, et les opérations de surveillance et d’alerte.
  • L’efficacité et la solidité du dispositif reposent sur l’étendue des sources d’information, sur la richesse des compétences et, par-dessus tout, sur la fluidité des échanges entre les équipes.

Auteur :

Rémy Jimenez

Senior Threat Intelligence Specialist chez Capgemini
Rémy est analyste en renseignement cyber depuis près de trois ans au sein du CERT commercial de Capgemini. Il est passionné par le suivi des groupes d’attaquants et l’analyse des modes opératoires adverses d’obédiences étatiques. Être diplômé en relations internationales et spécialiste en cybermenaces c’est possible ! En dehors de son activité professionnelle, il sert en tant qu’officier de réserve au sein du Ministère des Armées.