Quand la NSA cherche à automatiser sa cyberdéfense

Nos confrères du Federal Times se sont penchés, début mars, sur la manière dont la NSA mise sur l’intégration et l’automatisation pour assurer la sécurité de ses systèmes d’information. Philip Quade, l’assistant spécial auprès du directeur de l’agence en charge du sujet, relève ainsi que celle-ci est confrontée à rien moins qu’un peu plus d’un milliard d’incidents de sécurité par jour.

Leur traitement manuel était limité à une soixantaine d’incidents par jour. Et « examiner manuellement un incident prenait entre 11 minutes et 11 heures », relèvent nos confrères. Pour améliorer la situation – et résoudre au passage ce qui est régulièrement souligné comme constitutif de l’asymétrie de la cyberdéfense –, la NSA s’est tournée vers des outils commerciaux d’orchestration de la défense. Et Philip Quade d’expliquer que l’agence peut désormais ainsi traiter rien moins que « des dizaines de milliers d’incident simultanément », tout en réduisant le temps de traitement à « quelque chose entre 0,1 seconde et 1 seconde ».

Cette prouesse ne doit rien à un quelconque miracle. Dans un billet de blog, Phantom Cyber relève participer à « des projets comme celui d’Integrated Adaptive Cyber Defense (IACD) » aux côtés du ministère américain de l’intérieur, de la Cyber Task Force de la NSA et du laboratoire de physique appliquée de l’université Johns Hopkins. Et de décrire l’IACD comme un projet conçu pour « changer radicalement la mentalité et le status quo dans la cyberdéfense » dans une perspective : miser sur l’intégration et l’automatisation afin d’accélérer la réponse aux incidents.

En particulier, Phantom Cyber travaille avec le programme de cyberdéfense active de la NSA et le forum industriel OpenC2 piloté par l’agence. Avec un « équipementier majeur » et « un représentant » du commandement des systèmes de guerre informatique de la marine américaine », le SPAWAR, ils ont mis au point une architecture de référence pour la mise en œuvre de la plateforme d’orchestration de Phantom Cyber. Oliver Friedrichs, son fondateur, évoquait ces travaux lors d’un récent échange avec la rédaction.

L’architecture de référence s’appuie sur deux instances de la plateforme de l’éditeur. La première se charge d’ingérer les alertes et de suivre les procédures d’investigation prédéfinies. La seconde instance est déployée dans une enclave. C’est elle qui est chargée de l’application des procédures de réaction prédéfinie. Elle transmet ses instructions à des systèmes – les Mission Manager – qui les traduisent en commandes natives des systèmes de protection : pare-feu, système de défense des points de terminaison, et contrôleur de réseau à définition logicielle (SDN).

Cette architecture – et l’expérience de la NSA – laissent entrevoir tout le potentiel de l’orchestration et de l’automatisation en matière de cyberdéfense – l’un des thèmes phare de la toute dernière édition de RSA Conference –, plus encore lorsqu’elles sont combinées à des systèmes à définition logicielle. De quoi renvoyer à la vision développée par Art Coviello, ancien président exécutif de RSA, à l’occasion d’une précédente édition de cette conférence, début 2013.