CIX-A : un cercle de confiance pour renforcer la coopération face aux menaces

CIX-A est un ISAC. Michel Cazenave, son président, explique de quoi il s’agit : « c’est un centre de partage et d’analyse d’information ». Il en existe bien d’autres à travers le monde et jusqu’en Europe, notamment sectoriels, pour les services financiers ou encore l’automobile, par exemple, à l'instar du CSSA outre-Rhin.

L’un des objectifs est le partage de renseignement sur les menaces : « il peut s’agir d’informations de bas niveau, comme celles que peuvent produire et consommer des SOC ou des CERT, mais aussi de plus haut niveau sur les tactiques utilisées, ou encore les méthodes et les outils employés pour la détection. Voire les pratiques de remédiation ».

À plus long terme, Michel Cazenave veut développer des capacités d’analyse propres à CIX-A, afin de déterminer les menaces actives pour certains profils de membres de l’association. Et cela dans le but d’anticiper, en « identifiant les menaces susceptibles de nous toucher ». Car au final, « savoir quel type d’attaque est survenu, cela permet d’aider tout le monde. Plus on permet à chacun de s’inscrire dans une démarche collaborative, plus nous sommes forts collectivement ».

Et pour lui, le besoin est là : « le RSSI est toujours un peu en solo. Il occupe un poste de décision, avec beaucoup de responsabilités, mais également beaucoup de questions auxquelles il n’a pas forcément toutes les réponses ». D’où l’importance de « groupes de pairs dans un cercle de confiance, où discuter et échanger ».

Michel Cazenave fait un parallèle avec les BBS (Bulletin Board System) : « quelqu’un posait une question – il y en avait toujours pour répondre RTFM [N.D.R. : “Read the fucking manual”], et il y avait quelqu’un pour répondre et aider. C’est l’état d’esprit ». Et d’illustrer : « Qu’est-ce que vous faites pour sécuriser le téléphone de vos VIP ? ». Chacun peut alors y aller de sa pratique, de son expérience : « c’est de la co-construction ».

« Il faut que l’on renverse le rapport de force entre RSSI et attaquants. Eux n’ont besoin que d’une faille pour entrer. Nous, nous devons toutes les éviter. »

Olivier Daloy, vice-président de CIX-A, souligne l’importance du sujet : « il faut que l’on renverse le rapport de force entre RSSI et attaquants. Eux n’ont besoin que d’une faille pour entrer. Nous, nous devons toutes les éviter. Et l’on doit composer avec des questions budgétaires, politiques, qu’ils n’ont pas forcément ». Pour lui, le but de cet ISAC est alors d’aider ses membres à apprendre rapidement à connaître les assaillants en cas d’attaque : « que cherche-t-il ? Que veut-il obtenir ? ». Et surtout… « quelles sont ses prochaines actions, comment m’en protéger ? ». Tout l’intérêt du renseignement sur les menaces, en somme : avoir la connaissance de l’assaillant et de son mode opératoire.

De nombreux indicateurs de compromission (IoC) sont régulièrement partagés, plus ou moins publiquement. Mais comme le relève Michel Cazenave, « un IoC sans contexte, c’est presque inutilisable. Il faut lui donner du contexte ». C’est là qu’intervient la plateforme de ThreatQuotient, utilisée par CIX-A : « tout d’un coup, l’IoC prend de la valeur parce que, d’un coup, je sais où attendre ce signal, et je dispose d’un schéma d’attaque, grâce à la connaissance des modes opératoires du groupe impliqué ». Et ce sont tous les membres de l’ISAC qui s’en trouvent renforcés : « chacun peut être vigilant sur les signaux faibles qui sont tombés ».