Cyber-résilience : se protéger ne suffit pas

Publié le 12/12/2017

Anne-Charlotte Lecat

C’est un signe : les événements Cyber s’enchainent. Après la Euro Cyber Week de Rennes, la Technoférence #23 à Nantes reprenait le flambeau. Le thème : “Cybersécurité, protection vs résilience”. Où il était question d’ingénierie de sécurité, de détection des vulnérabilités du code, de patchs virtuels, de protection du reporter en zone de guerre, de cloud social privé… Et, surprise, de l’utilisation d’une blockchain dans le contexte de pompes à bière connectées !

81% des entreprises françaises cibles d’attaques Cyber en 2015… 760 millions d’attaques cumulées dans le monde en 2016… Une perte évaluée à 250 millions d’euros en 2017 pour le seul groupe Saint-Gobain, conséquence du ransomware NotPetya… Ces quelques chiffres chocs tirés de l’intervention de la Déléguée Générale du Pôle d’Excellence Cyber, Anne-Charlotte Lecat, suffisent à situer les enjeux. Il est indispensable de se protéger, mais ça ne suffit pas. Il faut aussi se préparer à gérer une crise cyber car les menaces sont bel et bien là.

La Technoférence #23 du 7 décembre considérait la cybersécurité sous ces deux angles complémentaires : protection et résilience. Elle se tenait à Nantes, dans les locaux de L’IMT Atlantique. Avec, comme c’est l’habitude lors des conférences techniques Images & Réseaux, la participation en visioconférence de sites distants à Brest, Lannion, Laval, Rennes et Vannes.

L’ingénierie de sécurité pilotée par les risques

Premier sujet de conférence, la sécurité de systèmes embarqués complexes. Jacques Foisil, de Thales Systèmes Aéroportés, explique qu’il faut intervenir “dès la définition de l’infrastructure”, dans une approche “secured by besign”. L’ingénierie par les modèles est le tronc commun dans lequel s’intègre l’ingénierie de sécurité avec pour objectif de “limiter la surface d’attaque”. Par exemple, on n’exposera que les données strictement nécessaires. Ce qui est aussi une façon de contenir les coûts de sécurité.

La démarche est dite “pilotée par les risques” pour exprimer qu’on donne priorité aux menaces probables. Pour illustrer, un parallèle : “Inutile de blinder une voiture s’il n’existe aucun risque qu’elle se fasse attaquer.” Le point de vue sécurité s’appuie sur les moyens de modélisation existants. Toutefois, l’ingénieur système SSI pointe que ceux-ci pourraient être outillés et enrichis. Notamment pour mettre en évidence les chemins d’attaque et représenter les règles de cloisonnement qui renforcent sécurité et résilience.

Sécurité logicielle : analyse de code et patchs virtuels

Hervé Le Goff prend la suite pour parler de sécurité applicative. La toute jeune startup Yagaan, dont il est le CEO, propose une solution qui “scan le code source” pour y détecter les vulnérabilités. L’idée est de sécuriser le code sitôt développé : “Quand on connait le coût du logiciel, on ne peut pas se permettre de corriger a posteriori”. D’autres outils existent, mais qui remontent beaucoup d’alertes dont un taux élevé de “faux positifs”, parfois plus de 80%. Ce qui est très coûteux “en temps d’investigation”. D’où l’approche de rupture de la solution Yagaan. Celle-ci, Yag Suite, utilise des algorithmes de machine learning pour apprendre à hiérarchiser les alertes selon le contexte métier et abaisser le taux de faux-positifs à moins de 1%.

Hervé Le Goff - Yagaan

Hervé Le Goff – Yagaan

Toujours dans le registre des vulnérabilités applicatives, un autre cas de figure. L’hébergeur Oceanet Technology protège les applications de ses clients en déployant des contre-mesures préventives au niveau des serveurs. “On bloque les requêtes malveillantes avant qu’elles ne parviennent aux applications”, explique Manuel Sabban, ingénieur sécurité. Le mécanisme de protection est basé sur un reverse proxy, un pare-feu applicatif (NAXSI) et des patchs virtuels. Ceux-ci sont chargés de désactiver des fonctions dangereuses ou d’intercepter des requêtes douteuses.

Un réseau de pompes connectées adossé à la blockchain

Changement radical d’univers avec Jean-François Istin, puisqu’il vient parler de bière. La société qu’il dirige, NDMAC Systems, a mis au point des tables connectées de dégustation de bières artisanales. Le concept est en exploitation commerciale pilote à Quimper et Brest, et expérimenté dans une trentaine de bars à travers le monde. L’originalité vaut à cette idée de truster les récompenses, une douzaine à ce jour : “Une startup doit gagner des prix pour avancer.”

Mais il reste à parfaire le modèle en mettant en place une solution innovante et sûre qui lie tous les acteurs de la chaîne : brasseurs, fabricant des fûts, bars et consommateurs. Ceci pour généraliser le fonctionnement à la commission et “créer des communautés de suiveurs autour des bières artisanales”. La solution imaginée : chaque consommation est ancrée dans une blockchain, ce qui permet un suivi indépendant par tous les acteurs… Une intention de projet R&D a été déposée pour développer cette idée.

Sécurité des données : cryptage partagé et cloud social privé

Dans un tout autre genre, Jean-Marc Bourguignon se préoccupe de confidentialité des données. L’association, Nothing2Hide, dont il est le secrétaire général, a pour objectif d’offrir aux journalistes, militants des droits de l’homme et autres lanceurs d’alerte des moyens sûrs de protéger leurs données. Car au-delà, c’est de sécurité des personnes dont il s’agit. Par exemple, pour transmettre des informations depuis Raqqa via la Turquie : “Certains y ont laissé la vie !” Il faut un accompagnement dans la mise en place de solutions : “On ne va pas demander à un journaliste de pondre du code en Python.” Parmi les technologies mises en œuvre, les réseaux privés virtuels (VPN), les pares-feux applicatifs comme NAXSI, le cryptage de mail, du cloud sécurisé…

Yann Busnel - SocioPlug - IMT Atlantique

Yann Busnel – SocioPlug – IMT Atlantique

De stockage sécurisé, il allait également être question avec l’intervention suivante. Yann Busnel, enseignant-chercheur à l’IMT Atlantique, présentait le projet R&D SocioPlug de cloud social sécurisé. Le concept repose sur un réseau social permettant de grouper des particuliers, chacun des contributeurs possédant chez lui un petit serveur de type “plug”.  Les plug computers sont de petits ordinateurs peu coûteux et très économes en énergie. Cette “fédération de plugs” ayant pour avantage de “créer une alternative indépendante aux grands centres de données”. Le projet a pour objectif de “prouver le concept” d’une solution de stockage de l’information répartie et sécurisée, par exemple pour des applications de villes intelligentes ou de réseaux de capteurs collaboratifs.

“Pas le droit de dormir !”

Anne-Charlotte Lecat, nommée depuis début octobre Déléguée Générale du Pôle d’Excellence Cyber, concluait la conférence. Outre les chiffres déjà cités, son intervention prenait la forme d’un appel vibrant : “Le cyberespace est le système nerveux de notre société d’aujourd’hui… La cybersécurité n’est pas une option.” La tâche promet d’être ardue car avec le cloud computing, la mobilité, les objets connectés, “la surface d’attaque explose”. Aussi, à cause d’exigences antagonistes. D’un côté la fiabilité, la robustesse, la sécurité ; de l’autre l’agilité, l’interopérabilité, le raccourcissement des délais, la maîtrise des coûts… “Nous sommes constamment dans une sorte de schizophrénie.”

La jeune femme liste alors une série d’interpellations adressées aux responsables de la sécurité et aux dirigeants : “Est-ce que je maîtrise mon parc informatique… Est-ce que j’ai ne serait-ce qu’une vision sur l’état de mes systèmes et de leurs mises à jour… Est-ce que je dispose d’un dispositif de réponse à un incident… En cas de crise cyber, est-ce que je peux couper un de mes sites ? Si vous n’avez pas la réponse à ces questions, vous n’avez pas le droit de dormir !”

Mais avec la cybersécurité apparaissent aussi des opportunités : “On voit émerger une dynamique de la confiance numérique.” Il faut passer d’une vision technique, “les briques de sécurité qu’on empile”, à une “stratégie cyber” qui assure une meilleure résilience.  Les budgets consacrés à la sécurité informatique augmentent. Le contexte est très favorable aux startups spécialisées. En Bretagne, “plus de 200 chercheurs sont impliqués”. En Europe d’ici 2022, on évalue à 350 000 le nombre de postes qu’il faudra créer. D’où l’urgence de former les profils dont l’économie, la société auront besoin. Pour Anne-Charlotte Lecat : “Nous sommes encore au stade de la crise d’adolescence… Il reste beaucoup à faire.”

À noter

Appel à manifestation d’intérêt : Référencement de prestataires de services cyber pour les projets SMILE (smart grids).

Cyber Ouest Challenge, candidatures avant le 31 janvier