Cybersécurité OIV : quel partage de renseignements sur les incidents ?

Des incidents couverts par le secret

Et cela commence par la confidentialité des relevés techniques d’incidents de sécurité : n’est-elle pas de nature à pénaliser le partage d’informations sur les attaques et, ainsi, la lutte collective contre la menace ?

Gérôme Billois, directeur de la practice Cybersécurité de Solucom, affiche sa compréhension : « un incident doit, la plupart du temps, rester confidentiel pour ne pas prévenir l’attaquant du fait qu’il a été découvert, ou encore pour préserver la stabilité interne à l’organisation et éviter les réactions trop rapides ».

Chez Trend Micro, Loïc Guézo partage cette analyse et relève en outre que « l’objectif de l’Anssi est d’organiser la défense des OIV. La lutte collective contre la menace n’est pas dans sa lettre de mission ». Jean-Marc Grémy, vice-président du Clusif et fondateur de Cabestan Consultants, souligne pour sa part que « divulguer les dégâts n’aidera personne à se protéger. Par contre évoquer les circonstances et les moyens cela peut être pertinent ». Mais là encore, il souligne le risque de « divulguer à l’ennemi les moyens que l’on utilise pour l’identifier et le freiner dans sa progression. Ce qui pourrait arriver si la confidentialité de l’information n’était pas garantie ».

Tout de même partager ?

Pour autant, il suggère de partager « des informations sur les systèmes ou les architectures les plus vulnérables, de proposer des architectures de défense en profondeur dans lesquelles nous pouvons travailler sur différents axes de la lutte, de l’anticipation à la récupération en passant par la protection ». De son côté, Gérôme Billois estime qu’une fois les éléments collectés, « il est possible de les anonymiser tout en conservant des éléments suffisamment discriminants (signature/condensat d’un binaire, adresse IP d’un serveur de commande et de contrôle). Le partage est alors possible et efficace ».

Chez ThreatQuotient, Cyrille Badeau souligne l’importance du partage d’informations, les fameux indicateurs de compromission : ils « permettent de se protéger efficacement contre la future tentative de l’adversaire ou l’utilisation d’une méthode similaire. Ce qui est efficace pour un client unique devient extrêmement efficace si ce renseignement peut être mutualisé sur plusieurs commanditaires ».

Et de relever que « sous réserve d’acceptation des commanditaires, et dans la limite liée à la classification des réseaux et des informations collectées, un prestataire de détection des incidents validé par l’Anssi pourrait apporter [un tel partage] au sein de la communauté de ses clients. Il s’agit ici d’un réel argument technique pour les offres managées ».

Mais de manière maîtrisée

Jean-Marc Grémy souligne de son côté que des circuits d’échanges d’indicateurs de compromission (IoC) existent déjà, entre Anssi, Calid au ministère de la Défense et Cert publics et privés : « on peut espérer qu’avec la loi de programmation militaire, et toujours le référentiel général de sécurité (RGS), les nouveaux acteurs que seront les prestataires de détection d’incidents (PDIS) et de réponse aux incidents (PRIS) bénéficieront de ces informations de la part de l’Anssi ».

De son côté, Cyrille Badeau s’attend à ce que « le niveau supérieur de partage collectif soit assuré par l’Anssi, qui collecte les informations sur les incidents grâce au formulaire de déclaration, et peut donc émettre des bulletins d’alerte incluant des marqueurs techniques recueillis sur les systèmes d’information des OIV, en appliquant les filtres nécessaires ».

Loïc Guézo estime également « qu’il serait opportun que l’Anssi organise une mise à disposition d’IoC importants pour la nation, à charge pour tous les éditeurs de montrer leur ouverture et de les intégrer. Cela ne pourrait que faire baisser le niveau général de la menace ».

Un important besoin de coopération

Jean-Marc Grémy souligne de son côté que « nous ne pouvons rester seuls. Il nous faut de la coopération. Ici, avec des acteurs commerciaux qui nous aident à comprendre l’anormalité de ce qu’il se passe sur nos systèmes ». Et cela même s’il s’interroge sur leur capacité à « traiter les attaques ciblées vers un type d’OIV s’ils ne sont pas informé des marqueurs ». Et d’insister : « malgré l’immense compétence des services de l’Etat, nous avons besoin de la communauté scientifique des chercheurs en sécurité, en informatique, en cybersécurité, pour développer des axes d’amélioration de la lutte ».  

Enfin, Gérôme Billois relève que les arrêtés publiés ne couvrent que les systèmes d’information d’importance vitale (SIIV) des OIV, « un périmètre par nature très restreint – souvent quelques dizaines d’applications – et ils n’empêchent pas le partage des éléments sur les incidents touchant le reste du système d’information ». Lequel apparaît comme un point d’entrée privilégié. Mais quid des incidents qui commencent là et se propagent dans les SIIV ?