Cyber Threat Intelligence et Security level maintenance, une combinaison efficace contre les cybermenaces

Internet, les systèmes de réseaux et les systèmes d’information sont devenus un véritable champ de bataille. En effet, chaque opérateur doit faire face à des cybermenaces de plus en plus nombreuses et progressives dans un contexte où les attaquants ont un net avantage sur les défenseurs.

Dans le meilleur des cas, on peut mettre en place un système d’information parallèlement à un ensemble d’actions qui auront permis d’évaluer le niveau de sécurité actuel. Cette évaluation confirmera que le niveau de sûreté est adéquat par rapport aux risques associés.

Cependant, si l’on n’entreprend aucune action une fois le système d’information mis en place, la découverte de nouvelles vulnérabilités liées aux composants logiciels utilisés et l’apparition de nouveaux logiciels malveillants inondant les réseaux vont rapidement et massivement dégrader le niveau de sécurité du système d’information.

Alors, comment faire en sorte que le système d’information soit protégé au maximum, qu’il réponde à ses exigences de sécurité et à ses propres menaces afin de maintenir son niveau de sécurité après sa mise en œuvre ?

La Security level maintenance (SLM), le premier pas vers une anticipation active

Le point clé ici est l’anticipation active, qui permet de maintenir la durée d’un niveau de sécurité donné. L’anticipation est absolument vitale pour tout opérateur souhaitant maintenir des niveaux de sécurité optimaux.

La première brique du processus d’anticipation active est la “security level maintenance” ou SLM. Son objectif est d’assurer le niveau de sécurité d’un système ou d’un projet donné à chaque étape de son cycle de vie, par une gestion bien contrôlée et maintenue des risques associés aux vulnérabilités logicielles. En France, la SLM est un élément essentiel de la politique de sécurité des systèmes d’information de l’État (PSSIE), qui définit les règles de protection appliquées aux systèmes d’information de l’État. Mais comment fonctionne la SLM ?

Pour atteindre son objectif, la SLM recensera et regroupera toutes les vulnérabilités publiées par les fournisseurs de logiciels et les chercheurs en sécurité, afin d’offrir des mesures de protection.

Une fois qu’une nouvelle vulnérabilité a fait l’objet d’une détection, les analystes en accuseront réception afin de déterminer si le système d’information ou le projet surveillé a été touché et, le cas échéant, dans quelle mesure. Ensuite, la SLM attribue une cote de gravité selon le “Common Vulnerability Scoring System” (CVSS) et la décompose en trois mesures :

  • la mesure “de base” qui décrit la gravité globale de la vulnérabilité ;
  • la métrique “temporelle”, qui reconnaît l’existence d’une solution de remédiation et d’un outil accessible au public pour exploiter la vulnérabilité ;
  • et la métrique “environnementale”, qui évalue la gravité d’une vulnérabilité dans le contexte spécifique du système d’information. Ce score sera différent d’une organisation à l’autre.

Les équipes SLM peuvent rédiger un scénario d’attaque et, si possible, présenter une solution pour remédier ou contrer la vulnérabilité.

La SLM dans l’attaque WannaCry

WannaCry est un bon exemple pour illustrer les avantages des méthodes “préventives”. Le logiciel de rançon utilisé lors de la cyberattaque mondiale de 2017 s’appuyait sur le système d’exploitation maintenant obsolète de Microsoft, Windows XP.

58 jours avant l’attaque, Microsoft a publié un avis de sécurité. Le lendemain, une équipe SLM a envoyé un premier avis de sécurité aux utilisateurs affectés par la vulnérabilité, précisant qu’il s’agissait d’une vulnérabilité très critique et qu’il fallait donc une surveillance urgente.

Cinq jours plus tard, une équipe SLM a envoyé aux clients du service les différentes procédures correctives qu’ils devaient appliquer à leurs systèmes (selon les versions utilisées par chaque client).

Le 15 avril 2017, un mois plus tard, un exploit (un outil d’exploitation des vulnérabilités) a été rendu public. L’outil est une réalisation de “The Shadow Brokers”, un groupe de pirates informatiques reliés à la NSA (National Security Agency). Le lendemain, les équipes SLM ont analysé l’exploit et ont averti les utilisateurs concernés, leur conseillant fortement de corriger la vulnérabilité.

Puis, le 12 mai 2017, l’attaque mondiale a frappé. Les équipes SLM se sont mobilisées et ont averti tous les utilisateurs concernés, leur faisant savoir qu’une attaque était imminente. Quelques minutes plus tard, l’avis de sécurité a été modifié et le niveau de gravité a été porté à un niveau critique.

Dans le cas de WannaCry, les équipes SLM ont permis aux responsables informatiques de se préparer à l’attaque, de réagir rapidement et d’éviter une situation de crise.

L’ajout du “Cyber Threat Intelligence” ou CTI, information relative au contexte d’utilisation de la vulnérabilité, aurait permis d’identifier des tendances afin de mieux anticiper et se défendre contre une telle attaque.

En 2019, la bataille numérique entre attaquants et défenseurs continue d’évoluer, rendant indispensable la connaissance de son contexte.

Cybermenaces, contextualiser pour anticiper les cybermenaces

Aujourd’hui, l’anticipation active des cybermenaces et des vulnérabilités exploitables dans un contexte spécifique est cruciale pour pouvoir répondre efficacement aux cyberrisques.

Connaître l’ensemble des différentes cybermenaces et savoir les qualifier dans le contexte spécifique du système d’information à risque est absolument vital. C’est aujourd’hui l’une des principales limites de la SLM, mais de nouvelles offres de services réunissant la CTI et la SLM répondent à ce défi.

Il est désormais important d’étoffer la description de ces vulnérabilités à l’aide d’une analyse avec le plus de contexte possible. L’objectif ? Offrir un service plus complet avec une aide à la décision.

Qu’est-ce que la Cyber Threat Intelligence offre à SLM ?

En tant que discipline fondée sur le renseignement, la CTI permet de collecter et d’organiser les données relatives aux cyberattaques et aux cyberattaquants, leurs motivations, leurs intentions et leurs méthodes.

Sur la base de ces données, certains facteurs semblent nécessaires pour les analyses de la SLM. Par exemple, la localisation est un élément contextuel intéressant : une vulnérabilité exploitée en Asie est contextuellement moins critique pour les clients européens, par exemple.

En tant que telle, la connaissance des éléments suivants est importante pour les analyses de la SLM :

  • où dans le monde a-t-on exploité la vulnérabilité ;
  • le groupe d’attaquants utilisant la vulnérabilité ;
  • les secteurs affectés par la vulnérabilité utilisée ;
  • les lieux géographiques touchés par la vulnérabilité utilisée ;
  • et les modèles d’attaque utilisant la vulnérabilité.

Face aux éléments donnés par l’utilisateur, toutes ces composantes permettent de réévaluer le score précédent et de mieux classer les vulnérabilités, ce qui permet aux utilisateurs de savoir lequel peut les affecter. Il s’agit d’un outil d’aide à la décision.

Les services de renseignements sur les cybermenaces disponibles sur le marché offrent des services que peuvent exploiter les SOC (Security Operations Centers) et les CERT. Jusqu’à présent, les responsables informatiques n’avaient pas de lien clair entre les offres de services CTI disponibles sur le marché et les outils de gestion des vulnérabilités. En associant la SLM et la CTI, les responsables informatiques peuvent désormais optimiser leur gestion des cybermenaces.

A lire également :
De l’Université polytechnique de Turin, l’innovation de l’Internet des objets qui reconnaît nos goûts

Show Buttons
Hide Buttons
Abonnez-vous à notre newsletter

Abonnez-vous à notre newsletter

Rejoignez notre liste de diffusion pour recevoir les dernières nouvelles et mises à jour de notre équipe.

You have Successfully Subscribed!