La détection des cybermenaces : outils et réglementation

Les cyberattaques se multiplient et présentent un risque majeur pour toutes les organisations. Le contexte technologique est propice aux attaquants, qui disposent d’un vaste arsenal d’outils indétectables par les solutions classiques. Les méthodes d’attaques utilisées évoluent sans cesse en s’adaptant de manière sophistiquée. Les outils de défense déployés aujourd’hui – firewall, proxy et sonde IPS [1] – peuvent être contournés. Les sandbox [2] , présentées un temps comme infaillibles, ont vite été trompées par les techniques d’évasion et ne répondent plus aux contraintes de performance.

Dans ce contexte, une nouvelle approche de la détection est devenue indispensable. Comme dans de nombreux secteurs, il existe tout un écosystème d’outils ayant pour objectif d'améliorer la cybersécurité. La tendance est aujourd’hui à l’interopérabilité de ces logiciels et solutions, afin d'accroître leur efficacité et faire gagner du temps aux équipes en charge de la sécurité au sein des entreprises et organisations. Il convient de dresser un état des lieux des outils et de la réglementation en matière de détection des cybermenaces.

Écosystème des outils de la cybersécurité et interopérabilité

Les sondes de détection : la détection des signaux faibles sur les réseaux

Les sondes de détection classiques, basées sur l’analyse de trafic et la comparaison avec des signatures d’attaques connues, sont peu efficaces lorsqu’il s’agit de détecter des menaces subtiles (APT [3] ) ou inconnues (0 days [4] ). Pour pallier ce problème, les sondes nouvelle génération intègrent des capacités de machine learning dans leur arsenal de détection.

On distingue deux types d’usage du machine learning :

• d'une part, l’utilisation de ces algorithmes en mode supervisé, c’est-à-dire avec un modèle de normalité. Une fois la sonde déployée, l’ajustement des seuils de détection au contexte client est lui aussi basé sur des algorithmes de machine learning. Ce mode de fonctionnement permet un déploiement rapide et une meilleure capacité à détecter les attaques caractérisées précédemment. En contrepartie, la détection des attaques non couvertes par le machine learning ou complètement inconnues reste difficile ;
• d'autre part, à l’opposé de cette approche, on retrouve l’apprentissage non supervisé pour détecter les attaques. Pour cela, lors du déploiement, les sondes sont positionnées sur le réseau pour observer le trafic et apprendre elles-mêmes à reconnaître le trafic légitime. Une fois la phase d’apprentissage terminée, les sondes sont capables de détecter des anomalies, et donc de lever des alertes en cas de comportement suspect. Cette approche permet de détecter des attaques inconnues, mais nécessite généralement une phase d’apprentissage plus longue pour être efficace et atteindre un taux de fausses alertes acceptable.

Dans les deux cas, les « sondes machine learning » permettent de compléter l’arsenal des Security Operations Centers (SOC), les centres de supervision de la sécurité informatique. Ces derniers sont aujourd’hui majoritairement destinés à détecter des attaques connues, par des capacités de détection capables de distinguer des attaques complexes, méconnues ou créées pour contourner les dispositifs de sécurité classiques.

Selon les besoins du SOC, les alertes remontées par ces sondes peuvent être intégrées comme sources du SIEM [5] , qui agrège les alertes de sécurité, ou disponibles directement depuis la console de management de la solution.

Les EDR : sécuriser les terminaux

Les solutions EDR [6] viennent compléter les capacités de détection et de réaction des SOC sur les terminaux (PC, serveurs…). Comme leur nom l’indique, les EDR participent à la détection d’attaques en comblant les faiblesses des antivirus, qui s’appuient sur des signatures d’attaques précises et sont inadaptés pour détecter certains types d’attaques, notamment les APT. Les EDR se basent donc sur d’autres méthodes de détection. Parmi ces techniques, on trouve la détection d’exploitation de vulnérabilités connues ou de « patterns d’attaque », l’analyse de fichiers par une sandbox et des approches comportementales basées sur du machine learning.

Mais les fonctionnalités des EDR ne s’arrêtent pas aux étapes de détection et d’analyse. En effet, ces solutions permettent d’effectuer des actions de remédiation à distance, dont la complexité dépend des éditeurs : suppression ou mise en quarantaine de fichiers, arrêt de processus, isolation d’un réseau de postes de travail infectés, modification de clés de registre…

La Cyber Threat Intelligence : mieux connaître les menaces et les attaquants

La Cyber Threat Intelligence (CTI) a pour but la collecte et l’organisation de toutes les informations liées aux cybermenaces, afin de dresser un portrait des attaquants et d’en dégager des tendances (secteurs touchés, méthodes et techniques d’exploitation…). Elle permet de connaître, de mieux se défendre et d'anticiper pour détecter les prémices d’une attaque.

Le terme «Threat Intelligence » est apparu début 2011, lorsque les premières APT ont été largement médiatisées, mais certaines organisations et entités étatiques utilisent ce concept depuis plus longtemps encore.

Les informations collectées peuvent être de différentes natures : marqueurs, IOC (indicateurs de compromissions tels que les clés d’identification des fichiers, des noms de domaines ou des adresses IP), historiques d’attaques, réutilisation d’architecture ou de plate-forme ayant servi antérieurement, utilisation de services, techniques et méthodes spécifiques (signatures communes).

De nombreux moyens de collecte ont été développés, notamment le renseignement open source (Open Source Intelligence – OSINT), les flux de données commerciaux et communautaires, la Social Media Intelligence (SMI ou SOCMINT), le renseignement d’origine humaine et la capacité d’analyse et de corrélation (Human Intelligence – HUMINT), mais aussi les informations provenant du Deep et du Dark Web.

Le SOAR : industrialiser et automatiser

Les SOAR [7] sont des plates-formes d’aide et d’automatisation de la réaction aux incidents de sécurité. Ils sont issus de la combinaison de trois outils du SOC :

• les SIRP (Security Incident Response Plateform) ;
• les SOA (Security Orchestration & Automation, solutions d’industrialisation et d’automatisation) ;
• et une partie des fonctionnalités de plates-formes de Threat Intelligence.

L’objectif des SOAR est clair : faciliter la tâche des équipes en charge de l’analyse et de la réaction, en les aidant à définir des processus et en automatisant les tâches au maximum. Même si les SOAR sont très adaptables et peuvent donc aider à répondre à tout type d’attaque, ils sont performants pour automatiser le traitement des attaques courantes (de type ransomware, phishing…), très répétitives et mobilisant les efforts des équipes de réaction.

Une fois ces tâches automatisées, les équipes sécurité en charge de la réaction peuvent se concentrer sur les alertes plus complexes, où leurs connaissances apportent une véritable valeur ajoutée.

Les obligations des OIV et des OSE en matière de détection

Dans un objectif de consolidation des capacités nationales de cybersécurité, la Loi de programmation militaire (LPM) votée en 2013 pour 2014-2019 encourage les entreprises, administrations et industries françaises sensibles, qualifiées d’« Opérateurs d’importance vitale » (OIV), à investir dans les outils de cyberdéfense et notamment à se doter de moyens de détection d’intrusion. La transposition de la directive NIS [8] en France, assurée par l'ANSSI [9] , a également pour but de renforcer la sécurité des Opérateurs de service essentiels (OSE) au fonctionnement de l’économie et de la société.

La détection de cyberattaques appliquée aux OIV

Le renforcement de la sécurisation des OIV, régi par l’article 22 de la LPM 2014-2019, impose l’amélioration de leurs systèmes d’information, appelés Systèmes d’information d’importance vitale (SIIV). Ce texte oblige les 250 OIV, répartis dans douze secteurs dits « sensibles » (nucléaire, transport, télécoms, finances, etc.), à mieux se protéger contre les cybermenaces.

L’une des premières obligations est de prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs Réseaux et systèmes informatiques (RSI).

Ainsi, les OIV doivent mettre en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs SI. Le décret de mars 2015 a précisé la procédure de qualification des outils de détection (sondes) et des prestataires proposant ces systèmes.

Concernant la détection des incidents, les journaux d’événements clés doivent être activés, centralisés et archivés, puis corrélés et analysés sur une infrastructure dédiée en s’appuyant sur le référentiel PDIS [10] . Défini par l’ANSSI, ce référentiel détermine les conditions nécessaires pour opérer des services de détection dans des conditions de sécurité optimale.

Des sondes réseaux qualifiées doivent être mises en place entre le SIIV et les réseaux tiers à ceux de l’OIV. Une procédure de gestion de crise doit pouvoir être déclenchée par le Premier Ministre afin d’assurer la cyber-résilience des SIIV et du SI de l’OIV.

La sécurisation des OSE

Les OSE sont quant à eux régis par la directive européenne NIS de 2016. Ils sont eux aussi soumis à des obligations en termes de cybersécurité de leurs SI, appelés « Systèmes d’information essentiels » (SIE). Transposée au droit français en 2018, cette directive est appliquée en France par l’ANSSI. Les obligations d’un OSE sont de trois ordres :

• appliquer les 23 règles de sécurité aux SIE identifiés par l’OSE ;
• notifier des incidents de sécurité survenus sur les SIE auprès de l’ANSSI ;
• enfin, permettre un contrôle de l’OSE par l’ANSSI ou d’un prestataire d’audit qualifié par l’ANSSI.

Les 23 règles de la directive NIS sont semblables aux obligations inscrites dans la LPM. Toutefois, quelques différences sont à noter, comme l’utilisation de sondes qui ne doivent pas être obligatoirement qualifiées, mais conformes au référentiel PDIS.