[Tribune] Détection des intrusions, leçons d’alpinistes

Renaud Bidou, Directeur Technique Europe du Sud de Trend Micro revient sur les similitudes entre alpinisme et intrusion informatique et comment gérer les 18 minutes charnières dans les deux cas. Lorsque l’on est pris dans une avalanche les chances de survie sont fortement dépendantes du temps. Après 18 minutes elles sont encore de 90%. Après une demi-heure elles tombent à 30%.

Renaud Bidou, Directeur Technique Europe du Sud de Trend Micro

Renaud Bidou, Directeur Technique Europe du Sud de Trend Micro

18 minutes semblent une éternité quand vous êtes « coffré » sous quelques mètres de neige. En revanche, pour les rescapés, c’est un laps de temps minime au cours duquel il faut récupérer du choc, se regrouper, s’organiser, trouver le point et la profondeur d’ensevelissement, creuser et extirper la victime de l’enfer blanc.

A lire aussi : La cyber-hygiène devient un impératif pour s’adapter à un univers de menaces post-pandémie

De même en 18 minutes, une menace informatique qui a réussi à prendre pied dans le Système d’Information a le temps de se déployer et de se propager dans des proportions quasi-irréversibles. C’est donc au cours de cet infime délai que l’équipe en charge de la détection doit l’identifier, la qualifier et définir les actions immédiates.

Il n’y a pas de montagne sûre

Les avalanches, crevasses et chutes de pierre ne sont pas l’apanage des grands sommets. Toute chute de neige conséquente peut donner lieu à une coulée de plusieurs mètres d’épaisseur dès que la pente dépasse 30°, tout glacier crée une rimaye[1] au pied de la montagne sur lequel il s’appuie, et la fonte du permafrost autant que l’érosion provoque le détachement de rochers quelle que soit l’altitude.

Au même titre qu’il faut franchir une rimaye – parfois sur un pont de neige, passer sous des séracs, ou emprunter des couloirs exposés aux chutes de pierre -, le Système d’Information doit s’exposer s’il veut garder son efficacité et son rôle. L’important devient (dans les deux contextes) de savoir évaluer ce risque le plus précisément possible et de s’y préparer.

Reynold Messner disait : « la montagne n’est ni juste, ni injuste, elle est dangereuse ». Le Système d’Information n’est ni inintéressant, ni sûr : il est exposé.

Il dispose en effet de ressources et contient des données importantes pour l’entreprise ou l’administration. Des données qui ont de la valeur. Il n’y a donc pas de Système d’Information sans intérêt.

Outillage

Il n’est pas concevable d’entreprendre l’ascension d’un sommet sans l’équipement adapté, au même titre que la détection d’intrusion requiert un outillage approprié.

Et dans un cas comme dans l’autre, l’outil miracle n’existe pas. L’efficacité de l’ensemble tient à la bonne combinaison de fonctions et de technologies répondant aux besoins spécifiques de l’environnement. Ainsi quand les flux chiffrés ne pourront être proprement analysés par une sonde réseau, la menace pourra être identifiée à même la cible. Les faux-positifs, que génèrent les moteurs de machine learning et qui ajoutent de la confusion quand le temps est un facteur critique, peuvent être filtrés en grande partie en amont par des moteurs déterministes. Le machine learning, en revanche, s’avérera particulièrement efficace pour identifier les scénarios d’attaques, quand bien même des techniques d’évasion telles que le padding de commandes, l’insertion de délai entre deux opérations ou encore l’utilisation de sources distinctes seraient utilisées.

Il est cependant nécessaire de garder à l’esprit quelques règles essentielles.

Tout d’abord nous parlons de fonction et de technologies, non d’outils. La multiplication de ces derniers présente de nombreux inconvénients.

Le premier est la courbe d’apprentissage. Elle est nécessairement plus longue quand le nombre d’outils à maîtriser devient plus important. Une multiplication des outils induit donc nécessairement une moindre expertise dans leur utilisation.

Le second est directement lié à la cohérence des données. A un point ou à un autre, chaque outil utilise son format, sa taxonomie ou son langage. La complexité d’intégration unitaire avec les outils de centralisation tels qu’un SIEM est donc proportionnelle au nombre d’outils utilisés ; et exponentielle quand il s’agit d’une intégration en vue de la corrélation entre les événements remontés par ces différents outils. Corrélation dont l’efficacité se trouve nécessairement réduite : les points de pivot ne pouvant être que des informations communes, le choix se restreint au PPCM (plus petit commun multiples) des éléments remontés de manière homogène par les différents outils.

Enfin, un effet de bord de la multiplication des outils est la difficulté de les sécuriser. Un piolet tombant d’un sac à dos est un danger mortel pour le second de cordée. Les PsTools ou même un interpréteur Python laissés à disposition d’un attaquant se retourneront contre les défenseurs. Il est donc indispensable de sécuriser ses outils, opération dont la complexité s’accroit avec le nombre d’outils concernés.

Organisation et communication

Au cours des 18 minutes qui suivent un ensevelissement, il faut se regrouper dans un endroit sûr (afin d’éviter les risques de sur-avalanche), désigner un responsable, mettre les DVA[2] en position réception, trouver un premier point de contact, quadriller la zone à l’aide de sondes de profondeur, trouver le point d’ensevelissement et évaluer l’épaisseur de neige, puis extraire la victime.

Dans un délai aussi court, il est indispensable de mettre en place une organisation efficace et rodée.

Lorsque les premières preuves d’une intrusion sont identifiées, il est envisageable que l’ensemble du Système d’Information soit déjà compromis, moyens de communication compris. Le regroupement en « zone sûre » consiste alors à utiliser des canaux tiers reposant sur des outils et des comptes utilisateurs non-corporate, et par conséquent totalement indépendants du Système d’Information. Autrement dit, il convient de faire bon usage du shadow IT

Une situation d’intrusion est un état d’urgence qui impose la mobilisation et l’engagement de toutes les ressources disponibles sur des actions précises. C’est la raison pour laquelle il est indispensable de nommer un responsable, dont les directives doivent être appliquées à la lettre et sans discussion, négociation ou considération politico-carriériste. Ce dernier doit par conséquent être une personne expérimentée et maîtrisant les compétences techniques. Prendre une décision rapide dans ce domaine impose de savoir ce que l’on fait. La résistance au stress est également une qualité indispensable, généralement acquise avec l’expérience.

Enfin, les principaux scénarios envisageables doivent être connus. Quand en alpinisme il s’agira d’avalanche, de chute dans une crevasse ou de chute de pierre, en informatique il faudra envisager l’exploitation d’une vulnérabilité, la compromission d’un compte ou l’ouverture d’un email malveillant.

Et pour chacun d’entre eux, il est nécessaire d’identifier en amont les actions immédiates à conduire, ainsi que les différentes étapes à même de suivre la propagation de l’intrusion. L’heure n’est pas à l’improvisation : sans une organisation cohérente et éprouvée, les chances de succès (i.e. de survie en montagne) se trouvent de facto considérablement réduites.

Préparation

L’ensemble des sujets abordés précédemment doivent être précisément documentés. Constituer la liste (à jour !) des collaborateurs à même d’intervenir dans le contexte d’une intrusion ainsi que leurs coordonnées sur le canal sécurisé ; recenser les outils à disposition, leur mode opératoire, et les moyens d’accès ; ou encore établir les procédures de détection et les actions immédiates à mener en fonction des différents scénarios.

Cet impératif de documentation et de mise à jour peut s’illustrer par un exemple simple. Un groupe d’alpiniste dispose d’un téléphone satellite (moyen de communication alternatif pour les zones hors-réseau), dont l’accès est protégé par un code PIN (sécurisation de l’outil) noté dans un calepin (documentation). Le propriétaire chute dans une crevasse et est inconscient. Si le code PIN n’est pas noté ou qu’il a été changé depuis, le téléphone est alors inutilisable et les secours ne pourront pas intervenir…

La préparation inclut également l’entrainement nécessaire, d’une part pour acquérir les automatismes, et d’autre part pour réduire l’impact du stress inhérent à ce type de situation. Il s’agit donc de répéter régulièrement les exercices afin de réduire au minimum le temps d’exécution des différentes étapes. Quand réunir l’équipe sur un canal sécurisé nécessite parfois plus d’une heure lors du premier essai, il peut suffire d’une dizaine de répétitions pour faire passer ce délai à moins de 5 minutes.

L’entrainement régulier est également un moyen empirique (mais redoutablement efficace) de vérifier que la documentation est bien à jour…

Conclusion

Qu’il s’agisse d’un incident en montagne ou d’une intrusion en cours sur un Système d’Information, le temps est le facteur clé et, dans un contexte d’incident, la moindre erreur conduit à l’échec. Dans cet environnement hostile, le succès repose sur une organisation rodée, des communications fiables et un outillage adapté et maîtrisé.

L’improvisation n’est pas de mise pour ce qui peut être défini en amont ; la loi de Murphy se chargera de mettre à l’épreuve l’expérience et la totale maîtrise du sujet au cours des opérations.

[1] Crevasse provoquée par le détachement du glacier et de la glace qui adhère au rocher

[2] Détecteur de Victime d’Avalanche