Par Christophe Jolly, Directeur Régional, Europe du Sud chez Vectra AI
Deux idées reçues semblent actuellement semer le trouble chez les spécialistes :
- la première est liée à permanence de l’approche défensive mobilisée face à la cybercriminalité ;
- la seconde concerne le distingo à faire entre exploitation des vulnérabilités et détection des éléments compromis.
Le passage à une nouvelle année est souvent propice à la réflexion, pour ne pas dire au bilan. Au moment de basculer vers une nouvelle année, dans un contexte dont on sait d’ores et déjà qu’il sera semé de cyberattaques assistées par l’usage de l’Intelligence Artificielle, il n’est pas vain de poser quelques jalons réflexifs afin que les DSI et les RSSI abordent au mieux les mois qui s’annoncent. Deux idées reçues semblent tout particulièrement à commenter : la première est d’ordre tactique ; la seconde renvoie à l’objectif de cyberdéfense que se doit de poursuivre toute organisation.
« Le bouclier et l’aïkidoka »
Afin d’évoquer la première idée, une fable pourrait être mobilisée, qui pourrait s’intituler « la fable du bouclier et de l’aïkidoka ». Pendant longtemps, les organisations privées et publiques se sont prémunies des cyberattaques en protégeant avec des boucliers les points d’entrée informatiques – principalement les mails. C’était sans compter sur l’extension progressive du périmètre informatique à couvrir.
Emails, serveurs, endpoints, réseaux, cloud… Ces dernières années, les systèmes d’information (SI) n’ont eu de cesse de se ramifier – et la tendance se confirme en 2024. Les frontières du territoire à protéger avec des boucliers ont ainsi été repoussées. Pis encore : non contents de se dilater, le périmètre à protéger s’est complexifié, avec des applications, des usages et des objets toujours plus connectés. C’est ici qu’intervient la logique du bouclier. Elle désigne l’option tactique de protection qui a été adoptée à l’origine par de nombreuses organisations, et dont on peut dire qu’elle est devenue de moins en moins efficace au regard de l’évolution progressive de la menace.
À l’aube de l’année 2024, il convient sans doute d’accepter cet état de fait : de plus en plus de cyberattaques passent à travers les mailles des boucliers tendus par les organisations. Que faire face à ce changement contextuel ? Réponse : adopter la posture de l’aïkidoka, dont la stratégie consiste à se servir de l’énergie et des mouvements déployés par ses adversaires afin de mieux se protéger ! En d’autres termes, il s’agit pour les organisations de revoir leur approche tactique en partant de l’idée que l’on maîtrise un attaquant grâce à l’identification des mouvements latéraux qui trahissent sa présence. Ce sont précisément grâce à ces mouvements que l’on peut le mettre hors d’état de nuire, en grande partie grâce à une IA nourrie à la modélisation comportementale.
Exploiter des vulnérabilités, ce n’est pas détecter des éléments compromis
La seconde idée reçue qu’il semble opportun de traiter à l’aube de l’année 2024 nous ramène à l’objectif assigné par les RSSI à leur propre système de détection et de défense. Sur ce sujet, un grand nombre d’analyses semblent confondre deux éléments différents : l’exploitation des vulnérabilités et la détection d’éléments compromis. L’exploitation des vulnérabilités d’un système d’information oblige mécaniquement à adopter une posture tactique. Ici, il est question de protéger au moyen d’outils de cyberdéfense des éléments aussi différents que des serveurs, des mails, des endpoints, des objets, etc.
La détection d’éléments compromis relève d’un tout autre scénario d’attaque : dans ce cas, l’enjeu consiste à prendre acte du fait qu’une attaque est possiblement en cours et qu’il faut la contrecarrer dans les délais les plus brefs. Les leviers de réponse cyber sont alors fort différents de ceux que l’on mobilise pour protéger les vulnérabilités potentielles puisqu’ils concernent très directement la nature de l’agression dont le SI fait l’objet.
- Quels sont les mouvements effectués par les cybercriminels au sein du système d’information ?
- Quel chemin sont-ils en train d’essayer de se frayer en passant d’un poste à un autre ?
- Où se dirigent-ils ?
Nous sommes ici typiquement dans la position de l’aïkidoka décrite plus haut : c’est en partant des mouvements de l’agresseur que l’on parvient le mieux à les immobiliser. En d’autres termes, il faut attendre qu’ils se découvrent pour mieux les contrecarrer.
Les logiques que l’on retrouve à travers les deux idées reçues sont finalement les mêmes.
- Dans un cas, l’idée consiste à se prémunir de toute attaque portant sur des éléments potentiellement vulnérables.
- Dans un autre, il s’agit d’agir une fois que l’attaquant est entré dans la maison et, grâce à une approche comportementale reposant sur l’IA, d’annihiler l’agression qui est en passe de se concrétiser.
Ces deux approches sont complémentaires, mais il convient de bien mesurer leurs nuances et leurs portées afin de déployer une stratégie de cyberdéfense la plus complète possible.