Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Avons-nous vraiment retenu la leçon de 20 années d'incidents en cybersécurité?

Avons-nous vraiment retenu la leçon de 20 années d'incidents en cybersécurité?
2014-10-302014-10-31actualités et événementsfr
Martin Libicki est intervenu ce mardi 28 octobre 2014 à l'Ecole Militaire lors d'une soirée organisée par la Chaire CASTEX de cyberstratégie. Pour ceux qui n'ayant pu faire le déplacement, voici quelques notes et réflexions.
Publié le 30 Octobre 2014 par Jean-François Audenard dans actualités et événements
avons-nous vraiment retenu la leçon de 20 années d’incidents en cybersécurité?

Martin Libicki est intervenu ce mardi 28 octobre 2014 à l'Ecole Militaire lors d'une soirée organisée par la Chaire CASTEX de cyberstratégie. Le titre de son intervention était « Majors Events in Cyberspace - What We Learned and What We Should Have Learned ». Pour ceux qui n'ayant pu faire le déplacement, voici quelques notes et réflexions. Ce scientifique senior de la "RAND Corporation" intervient sur des sujets liés à la cybersécurité, à la place des technologies de l'information et leur impact sur les questions de sécurité nationale. C'est une personne reconnue dans le domaine de la sécurité et notamment sur les questions liées à la cyber-dissuasion et le cyber-terrorisme.

qu’avons-nous retenu des grands incidents en sécurité ?

« Avons-nous retenu les leçons que nous devions retenir ou est-ce qu'au contraire n'avons-nous retenu que les leçons que nous étions prédisposés à apprendre ? » Cette question est un peu perturbante mais fort pertinente : c’est de cette façon que Martin Libicki nous interpelle sur l'importance de conserver notre esprit critique et de ne pas nous arrêter aux conclusions trop évidentes, ce tout particulièrement dans le contexte du cyberespace.

Afin d'appuyer son propos, Martin Libicki est revenu sur plus d'une trentaine (!) d'évènements en sécurité informatique qui couvraient les 20 dernières années. Je vous propose quelques moments choisis.

  • 1992 - Le virus « Michelangelo »

Le virus Michelangelo de 1992 nous a appris qu'un code malicieux pouvait bloquer le fonctionnement d'ordinateurs personnels. Mais avons-nous retenu que les effets escomptés par l'auteur d'un virus peuvent aller au-delà de ce qu'il voulait initialement ? (Michelangelo était conçu pour n'infecter que des machines sous le système d'exploitation DOS mais le fonctionnement de son processus d'infection a eu pour conséquence de bloquer le démarrage d'autres systèmes d'exploitation que DOS).

  • 2000 – Le virus « I Love You »

En 2000, le virus « I Love You » nous a appris que les attaques virales pouvaient être particulièrement coûteuses. Mais avons-nous retenu que le coût des attaques informatiques est souvent très largement surévalué et que ces chiffres sont trop facilement pris pour argent comptant ?

  • 2001 – Les attaques du 11 Septembre

Les attentats du 11 Septembre 2001 nous ont  appris que les attaques informatiques ne sont pas le seul moyen pour un acteur non-étatique de menacer un grand état comme les Etats-Unis. Mais avons-nous appris que pour des terroristes monter des attaques informatiques est loin d'être simple et aisé ? (pour Martin Libicki, les risques liés au cyber-terrorisme sont un peu exagérés et montés en épingle un peu trop souvent)

  • 2007 – Attaques en DDoS à l’encontre de l’Estonie

En 2007, les attaques en DDoS à l'encontre de l'Estonie nous ont appris que les Russes pouvaient bloquer d'autres pays à distance. Mais avons-nous appris que l'intérêt d'une attaque en DDoS provient aussi du fait de la publicité?L’année suivant,  en 2008, les attaques en DDoS à l'encontre de la Géorgie ont reçu beaucoup moins de publicité, une fois que les sites web soient transférés sur des infrastructures robustes (Google en l'occurence).

  • 2009 – Opération « Snooping Dragon » de la Chine

L'opération "Snooping Dragon" de 2009 nous a appris que les Chinois pénètraient dans les réseaux informatiques de leurs opposants politiques (ici le Tibet). Mais avons-nous retenu que les Chinois restent indifférents et n'ont cure que le monde sache qu’ils agissent ainsi ?

  • 2009-2010 – le ver informatique « Stuxnet »

Le ver informatique "Stuxnet" de 2009-2010 nous a appris que les systèmes informatiques étanches/déconnectés ne le sont pas vraiment. Mais avons-nous retenu que regrouper autant de vulnérabilités de type "0-day" et de les coordonner ainsi, est particulièrement difficile ?

  • 2011 – Intrusion de la société RSA

L'intrusion de la société RSA en 2011 nous a appris que les sociétés spécialisées dans la sécurité d’informations sont aussi la cible d'attaques informatiques. Mais avons-nous retenu que ces sociétés spécialisées ne doivent pas se penser intouchables/invulnérables ni pêcher par excès de confiance ?

  • 2012 – Le ver informatique « Flame »

Le ver informatique Flame de 2012 nous a appris que le ver Stuxnet se "reproduisait". Mais avons-nous appris que les créations des auteurs de codes malicieux cèdent aussi à des tendances de "surpoids" dans leurs créations (bloatware), que certains sont en mesure de casser de la crypto ?

  • 2013 – Les révélations d’Edward Snwoden

Les révélations d'Edward Snowden de 2013 nous ont appris qu'il est nécessaire de regarder et de surveiller ceux à qui l'on fait confiance. Mais nous ont-elles appris que plus le nombre de personnes ayant accès à des données sensibles augmente, plus on s'approche du  100% de probablité de voir ces données compromises ?

  •  2014 – Les failles Heardbleed et Shellshock

La faille Hearbleed (et ShellShock) de 2014 nous ont appris que le code OpenSource contient de  nombreux bugs. Mais avons-nous retenu que de découvrir des bugs c'est aussi provoquer un déluge d'attaques ?

analyser les évènements passés pour s'améliorer

J'ai pu retenir de la présentation de Martin Libicki, qu'il est important de revenir sur les incidents de sécurité passés (externes ou internes) afin de les analyser et d'en tirer des leçons. Cette analyse doit être faite avec un esprit critique et en limitant les freins psychologiques qu'une organisation peut faire peser sur les personnes (cf. le "politiquement correct" ou "toutes vérités ne sont pas bonnes à dire").

stratégie équilibrée et infrastructures vitales

Martin Libicki a bien rappelé qu'il ne faut pas chercher à tout protéger car ; même dans le cas d'une attaque réussie ; les impacts sont encore assez limités. Une stratégie de sécurité doit être équilibrée en s'appuyant sur des mesures de prévention mais aussi de détection et de réaction sur incident.

Selon Martin Libicki, si il y a un domaine pour lequel il convient de mettre le focus, ce serait celui des infrastructures dites "vitales" (par exemple la distribution d'énergie électrique). On retrouve ici la démarche Française avec la LPM (Loi de Programmation Militaire) qui met l'accent sur les OIV (Opérateurs d'Infrastructures Vitales) et la protection de leurs systèmes d’information.

Jean-François (Jeff) Audenard

PS : Les propos et idées ici présentés n’engagent que moi et ne sont que des extraits de ce qui a été présenté.

 

 

3 Commentaires

  • 3 Août 2015
    2015-08-03
    par
    Nathalie Ivision
    Un compte rendu intéressant, quand on sait que le nombre de cuber attaques est en hausse de 48% dans le monde, et les coûts moyens associés à la cybersécurité, en hausse de 34%, selon une étude PwC 2014. Ce serait en Europe que les risques augmenteraient le plus, tandis que les budgets mondiaux dédiés à la protection informatique seraient en baisse. Il est donc important pour tous, entreprises comme états, de prendre garde à ces enjeux de cybersécurité, en évaluant les risques, en se protégeant et en mettant en place des procédure de continuité des activité ou de retour aux activités en cas d’incident.
  • 31 Octobre 2014
    2015-08-03
    par
    Jeff Audenard
    @Chopchop : Merci pour le commentaire. Effectivemen c'est un peu de "l'enfonçage de portes ouvertes". Merci. :-) C'est vrai que les terroristes ont une tendance à préférer les AK47 et autres armes plus ou moins conventionnelles. :-) C'est plus la 2nde partie du slide qui est intéressante car de ce que j'ai compris de l'intervention de Martin Libicki, le risque associé au "cyber" du cyber-terrorisme est monté en épingle et un peu "l'argument facile" pour légitimer certaines actions/décisions des gouvernements, alors que justement les terroristes sont (pour le moment du moins) plus enclins à utiliser des moyens "old-school".
    Encore une fois, ce que j'ai retenu de l'intervention de Martin Lubicki est plus sur "le fond" que les événenements en tant que tels : il est nécessaire de ne pas se laisser avaugler par les évidences, de conserver son esprit critique. La lutte contre le terrorisme (et toutes formes d'extrémisme) ne doivent pas être des prétextes ou des caches-sexes. Esprit critique, esprit critique, es-tu là... Dans certaines grandes boites, il est parfois loin l'esprit critique...
  • 31 Octobre 2014
    2015-08-03
    par
    Ch0pch0p
    "Les attentats du 11 Septembre 2001 nous ont appris que les attaques informatiques ne sont pas le seul moyen pour un acteur non-étatique de menacer un grand état comme les Etats-Unis." C'est pareil, je pensais que seules les attaques informatiques existaient. J'aurais jamais imaginé qu'un terroriste puisse utiliser une bombe ou détourner un avion. C'est pas une petite découverte !

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage