Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

OODA : une stratégie militaire au service de la SSI

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

f16

Si vous vous intéressez un tant soit peu à la stratégie militaire et à l’aviation vous avez probablement entendu parler du colonel John Boyd, de l’armée de l’air américaine. Présenté comme le père du chasseur F-16, il est aussi à l’origine de nombreuses stratégies militaires encore en vigueur aujourd’hui.

Parmi celles-ci, la « boucle OODA« , pour Observe, Orient, Decide, Act (observer, orienter, décider et agir). Cette approche a d’abord été conçue pour permettre aux pilotes de combat américains de gagner plus d’engagements qu’ils n’en perdent. Puis elle a été adaptée avec succès au monde des affaires et de la finance. Et l’on en parle maintenant régulièrement dans le petit monde de la SSI.

Après tout, il n’y aucune raison pour que ce qui fonctionne pour des gaillards athlétiques sur-entraînés qui font rêver femmes et enfants ne fonctionne pas non plus pour des RSSI… Non ?

Dans sa plus simple expression, la stratégie OODA peut paraître simpliste : il s’agit après tout d’une réaction toute naturelle que d’observer l’adversaire, de s’orienter en fonction de ses actions, de décider de la réponse adaptée et de la mettre en oeuvre. Mais en réalité, le succès de cette approche commence avec le tempo : John Boyd a théorisé que lors d’une confrontation c’est celui qui sera en mesure d’itérer plus vite que son adversaire dans sa boucle OODA qui l’emportera.

Dans le cadre d’un affrontement cyber, l’entreprise attaquée est handicapée, bien entendu : il lui sera difficile de réagir plus vite que son adversaire tant il s’agit d’une confrontation asymétrique. Mais c’est déjà là un premier objectif à atteindre : optimiser la capacité de réaction de l’entreprise en réduisant au maximum les délais entre les différentes phases de la boucle OODA, que nous aborderons ci-dessous (délais le plus souvent d’ordre organisationnels ou hiérarchiques). Par exemple, en réunissant des équipes jusqu’à présent séparées alors qu’elles contribuent à la même étape de la boucle.

Viennent ensuite des besoins spécifiques à chaque étape d’un processus OODA. Plutôt qu’une stratégie, il s’agit finalement d’une check-list : elle permet de s’assurer qu’à chaque étape les moyens adaptés sont bien positionnés.

Observe. C’est peut-être l’aspect le plus familier à la SSI. Entre SIEM et solutions de gestion des logs, l’observation du réseau et des systèmes est l’une des tâches les plus courantes de l’équipe sécurité. Mais il s’agit d’aller plus loin et de ne pas se contenter d’observer les événements propres à la sécurité. Il faut être en mesure d’y intégrer par exemple des données de performance du réseau, des informations tirés des journaux applicatifs, des systèmes de sécurité physiques et même de sources extérieures, par exemple via des échanges d’information avec d’autres partenaires dans la même industrie ou des acteurs gouvernementaux (ce qui touche à la notion de cyber-intelligence). En bref, pour bien des entreprises le chantier de la phase « Observe » sera probablement d’intégrer de nouvelles sources d’information à son observation purement SSI. Mais c’est la clé du succès : dans la stratégie de la boucle OODA la victoire commence par la prise en compte des facteurs extérieurs adverses (contrairement à l’habitude du petit monde de la SSI qui consiste souvent à ne considérer que les paquets traversant les filtres au niveau du périmètre)

Orient. L’orientation est la phase entre l’observation et la prise de décision. Le modèle original de la stratégie ODDA cite ici les biais de l’opérateur qui orienteront sa prise de décision lors de l’étape suivante (biais génétiques, culturels, expériences passées, etc…). Pour le colonel Boyd, il s’agit de l’étape la plus importante à comprendre car ces biais « orientent la façon dont nous observons, dont nous prenons nos décisions et dont nous agissons » .
Pour l’entreprise, il s’agit surtout de sa capacité à savoir « quoi faire » de l’information qu’elle vient d’observer et de préparer la prise de décision en tenant compte de facteurs internes et externes qui peuvent peser sur celle-ci.
Et tout cela est évidemment très lié à la culture de la maison : le management tient-il les collaborateurs subalternes par la peur (réduisant ainsi l’initiative individuelle et la capacité à décider au cas par cas qui est susceptible de mieux traiter l’information recueillie) ? Existe-t-il des processus de reporting formalisés ? Quel est l’état des relations entre les équipes (de production, de sécurité…) ?
Il s’agit également de prendre en compte des facteurs internes (luttes politiques, limitations structurelles du système d’information…) et externes (une situation géopolitique particulière, des actions d’hacktivistes en cours contre des acteurs de la même industrie, etc…) susceptibles d’influencer la prise de décision bien qu’ils ne soient pas observables directement. On tente ici d’apporter un éclairage contextuel « maison » aux informations observées dans l’étape précédente.
Cette phase peut être facilitée par des outils automatisés chargés de trier les informations en fonction de mots-clés prédéfinis, de niveau d’attaque, de fréquence, de volume, d’heure, etc… Mais une supervision humaine sera probablement toujours nécessaire. Les deux questions fondamentales qui devraient guider toute réflexion à ce stade sont : « Existe-t-il des facteurs internes ou externes distincts des observations et susceptibles d’influencer notre prise de décision ? » et  « Quel est la meilleure personne / entité pour prendre une décision basée sur cette information ? » .

Decide. A ce stade l’on dispose d’une vision la plus complète possible de la situation et l’on a tenu compte de nos propres biais pour orienter la réflexion vers une décision (dans le cas de l’entreprise, on a confié l’information à la bonne entité et l’on a intégré des informations d’ordre politiques ou géopolitiques aux observations). Il est temps de rassembler toutes ces informations et de prendre une décision. Celle-ci peut être absolument n’importe quoi. Mais elle devra répondre à certains critères : être prise suffisamment rapidement (l’idée de la boucle OODA est d’itérer plus rapidement que l’adversaire, pas de stagner), être réalisable immédiatement (même si la décision est de ne rien faire !) et être fermement basée sur les étapes précédentes (pas d’injection de nouvelles variables à ce stade). Cerise sur le gâteau : une décision prise selon ces critères sera documentée et parfaitement défendable.
A garder à l’esprit également : chaque décision n’est définitive que dans sa propre itération de la boucle OODA. Lors du passage suivant, l’observation permettra de déterminer ses effets sur l’adversaire, de prendre en compte de nouveaux facteur et la décision suivante pourra en tenir compte ou rectifier la précédente.

Act. Il est temps de passer à l’acte ! La dernière étape est aussi la plus évidente : « il n’y a plus qu’à » ! Dans le contexte d’une stratégie OODA, toutefois, les résultats produits par l’action ne sont pas perdus : ils sont immédiatement injectés dans la phase d’observation de l’itération suivante et servent à affiner la prise de décision au prochain tour. Et ainsi de suite. Entre temps, peut-être les influences extérieures ou intérieures auront-elles aussi évolué (mise à jour de l’étape d’orientation), et vous voilà reparti pour un tour…

Une telle approche permet de structurer la prise de décision en la basant sur des faits (l’observation), enrichis d’autres faits objectifs (les biais culturels et génétiques, les influences extérieures / intérieures) plutôt qu’en étant l’esclave involontaire de nos réflexes conditionnés et de nos biais divers. Et elle produit des décisions défendables et parfaitement adaptées à la situation à un instant T.
Elle vous semble complexe ? Irréaliste ? Les pilotes de combat n’ont que quelques secondes pour la traiter, seuls. La SSI dispose de quelques heures / jours / semaines, et en équipe. Il serait dommage de ne pas essayer !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à OODA : une stratégie militaire au service de la SSI

  1. Thrawnfsa dit :

    Très bon article.
    La faisabilité de l’adaptation à une RSI est possible. De toute facon, tout comme d’autres grands principes (ITIL, PRINCE), l’idée n’est pas de tout appliquer à la lettre, mais de conserver l’essence du OODA.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.