adamparent - Fotolia
Einstein, un cancre au cœur de la cybersécurité américaine
Ce projet central du programme de protection de l’informatique du ministère de l’Intérieur américain a encore deux ans pour évoluer. Et peut-être tenir ses promesses.
L’organe parlementaire d’audit des comptes publics du budget fédéral américain, le Government Accountability Office (GAO), n’est pas connu pour être tendre. Il y a un peu moins d’un an, il avait ainsi souligné par le menu les vulnérabilités présentes dans les systèmes du contrôle aérien outre Atlantique. C’est avec le même pragmatisme qu’il s’est penché, sans la moindre concession, sur le système de protection de l’informatique du ministère de l’Intérieur américain, le NCPS. Et ses conclusions à l’égard d’un programme connu sous le nom d’Einstein ne sont pas tendres.
On y découvre ainsi que le NCPS « fournit une capacité limitée de détection d’activités potentiellement malicieuses entrant et sortant des réseaux informatiques des agences fédérales ». En particulier, le système se contente de fonctionner à partir de signatures et « ne détecte pas les déviations de comportements réseau normaux établis au préalable ». Qui plus est, le NCPS ne semble pas même embarquer de système de prévention/détection des intrusions (IPS/IDS) exploitant des règles basées sur des indicateurs de compromission connus. Et il s’avère aveugle aux « menaces qui exploitent des vulnérabilités communes ».
Un outil coûteux, redondant, et sans véritable valeur ajoutée
En fait, à ce stade de son développement, le NCPS ressemble à une grosse passerelle de sécurisation de la messagerie électronique. Mais il fait un peu plus, grâce à 228 sondes de détection d’intrusion disposées au sein de l’infrastructure réseau du .gov. Plus de 9000 signatures seraient déployées mais seulement 2300 seraient effectivement utilisées dans le cadre de l’analyse du trafic. Car Einstein est doté, depuis 2011, de capacités analytiques. Reste à savoir s’il a vraiment beaucoup de données pertinentes à se mettre sous la dent. Sur 489 vulnérabilités identifiées en 2014 et face auxquelles ses capacités de détection ont été testées, il n’en a trouvé que 29. Une brique de filtrage du trafic Web (Secure Web Gateway, ou SWG) doit être déployée dans le courant de l’année.
Lancé en 2003, le programme a déjà coûté quelques 5,7 Md$, dont rien moins que 1,2 Md$ entre 2009 et 2014. Et peut-être souffre-t-il justement de son âge – sinon de celui de ceux qui en assurent le pilotage. Car les auteurs du rapport du GAO souligne que « NCPS a toujours été conçu comme un système de détection des intrusions à partir de signatures, et ne dispose donc pas de la capacité d’employer des méthodologies de détection d’intrusion multiples ». Heureusement, Einstein n’est apparemment pas le seul outil accessible aux agences fédérales américaines pour améliorer leur posture de sécurité.
Partager du renseignement ? Lequel ?
Mais le GAO n’y voit là rien de positif, bien au contraire : il souligne que de nombreuses agences utilisent déjà des systèmes sur étagère comparables à Einstein ; de quoi limiter la valeur ajoutée de ce dernier. Ce que reconnaissent même à demi-mots des responsables du ministère de l’Intérieur américain.
Le NCPS se dote depuis quelques années d’une couche de partage de renseignements. Mais pour l’heure, le partage reste largement manuel et ad hoc, sans procédures opérationnelles formalisées. Dans la pratique, les cinq agences clientes d’Einstein estiment que le ministère de l’Intérieur américain ne communique « pas toujours effectivement ses notifications de détection d’intrusion à ses agences clientes ».
Malgré les capacités limitées de son outil, il est toutefois parvenu à transmettre 74 notifications d’incidents en 2014. Mais seulement 56 ont été reçues.
Cet éclairage conduit à appréhender le vaste vol de données dont a été victime le bureau de gestion du personnel (OPM) l’an passé sous une toute autre perspective, et jette une ombre sur l’image de la sécurité des systèmes d’information des agences fédérales américaines.
De quoi mieux comprendre que celles-ci cherchent largement à recruter des professionnels de la sécurité informatique, à commencer par l’OPM qui veut en embaucher un millier en 2016, avec l’aval du ministère de l’Intérieur.