Cyberattaque : quelle est la meilleure défense ?

Quel est le meilleur moyen pour lutter contre une attaque informatique au moment ou elle est détectée ? S’il existait une réponse simple à cette question, plateformes en lignes et autres services cloud se feraient moins de souci. En réalité, il existe de multiples contre-mesures possibles, dont chacune dépend de la nature de la cyberattaque. Dans la plupart des cas, une attaque demande même le déploiement de plusieurs réponses, afin de faire face, par exemple, à plusieurs attaques simultanées. Le problème, c’est que l’impact global de l’ensemble de ces dispositions sur le système surveillé est difficile à évaluer, donc souvent méconnu, voire totalement inconnu.

C’est pour résoudre ce problème que le projet Adax a vu le jour en 2013 sous l’impulsion d’Airbus Defence & Space en collaboration avec plusieurs partenaires académiques dont Télécom SudParis et Télécom Bretagne. « Le but d’Adax était de proposer un nouvel état de l’art des contre-mesures en temps réel » synthétise Hervé Debar, chercheur à Télécom SudParis en technologies de l’information et de la communication (TIC). Un objectif large et ambitieux, néanmoins mené à bien et récompensé par un prix dans la catégorie « Business impact » de l’organisme européen ITEA en avril 2016.

Trouver la meilleure contre-mesure possible en fonction d’une attaque

Hervé Debar détaille la contribution de Télécom SudParis et de son équipe : « Nous avions en charge d’analyser le champ des contre-mesures possibles, et de quantifier leur efficacité ». Afin de bien cerner l’impact des dispositifs déployés, les chercheurs ont mesuré les impacts de chaque contre-mesure sur différents types d’architectures informatiques. « Typiquement une contre-mesure peut-être la mise en place d’une règle de filtrage des données, un changement de routage, un basculement temporaire vers un autre fournisseur de service… » illustre le chercheur.

Or, dans ce travail de référencement, les scientifiques ont déterminé que certains contre-mesures pouvaient être néfastes pour un système ! Le déploiement d’une solution de défense d’un service en ligne peut en effet perturber des utilisateurs qui n’étaient pas impactés directement par l’attaque. Trois critères ont donc été choisis pour classer les contre-mesures : l’efficacité pour bloquer une cyberattaque, le risque résiduel présenté par la partie de l’attaque non bloquée qui peut continuer à perturber la victime, et les dommages collatéraux pour des utilisateurs à l’origine non touchés par l’attaque mais qui subiront une dégradation du service due à la contre-mesure.

Après avoir clairement identifié les conséquences des solutions déployées et les avoir classées, l’équipe d’Hervé Debar a associé un coût en euros aux dispositifs possibles. « À partir du niveau de risque d’une cyberattaque — qui dépend de sa difficulté à la mener, du type de composant visé dans l’architecture, . — nous sommes en mesure de proposer la meilleure réponse à mettre en place en fonction du coût qu’elle est prête à accepter » explique-t-il.

Tous les secteurs concernés

Les résultats du projet Adax intéressent de nombreux acteurs. Les modèles de lutte contre une cyberattaque développés dans ce cadre peuvent s’appliquer à des réseaux, des clouds, des services… Qu’il s’agisse de transport des données, de calcul, de stockage, toutes les couches d’une architecture informatique sont concernées. « Notre force est de nous intéresser à la fois aux utilisateurs et aux fournisseurs de service. Chaque arbitrage particulier sera un compromis » s’enthousiasme Hervé Debar.

Les résultats des travaux ont été testés dans des cas d’usage avec des partenaires industriels. Airbus a ainsi utilisé les solutions sur des systèmes d’information classique ou des commandes de chaînes de production. Des distributeurs d’eau et d’énergie en France et en Europe ont également été sollicités pour expérimenter la sécurisation de leurs architectures.

Jusqu’à présent, les cas pratiques se faisaient toujours au travers de collaborations très personnalisées. Les chercheurs proposaient alors des solutions de contre-mesures issues de travaux d’analyse et d’étude spécifiques aux dispositifs des partenaires industriels. Aujourd’hui, les équipes d’Adax essaient de travailler sur une standardisation, afin que chaque entreprise ne nécessite pas un travail spécifique. « Nous souhaitons produire des indicateurs d’efficacité d’une contre-mesure non pas pour des cas d’usage, mais pour l’industrie, avec des normes de référence » envisage le chercheur. Des travaux qui devraient permettre aux chercheurs de proposer un démonstrateur en fin d’année.