En ces temps de cyberdéfense omniprésente il est évidemment très tentant de pousser l’analogie entre le monde militaire et la sécurité de l’information. Alors pourquoi ne pas remonter à la source et aller voir si les principes ancestraux de l’Art de la Guerre s’appliquent également au domaine cyber ?

C’était le thème choisi pour la dernière édition des Petites RIAMS, organisées hier à Paris par Atheos. Nous avions certes déjà abordé le sujet à travers la réflexion d’un RSSI publiée en 2012. Mais en deux ans la perception du domaine cyber et le positionnement étatique ayant largement évolués, il semblait utile d’y revenir.

Nous ne pouvons résumer le débat lui-même, au cours duquel nous intervenions, car les RIAMS est un événement privé. Mais nous pouvons en revanche proposer quelques pistes de réflexion sur le sujet.

Evidemment le parallèle très médiatique entre l’Art de la Guerre et le travail quotidien des RSSI a tout pour faire le buzz : un concept marquant, simple à comprendre et qui éclaire le travail des ingénieurs sécurité d’une lumière flatteuse. Il n’en faut guère plus pour craindre le coup marketing.

Notre position consiste cependant à considérer l’Art de la Guerre non pas comme un modèle mais plutôt comme une opportunité d’apprentissage pour la SSI. C’est l’espoir d’enrichir notre pratique quotidienne grâce à l’expérience de grands stratèges, afin d’identifier peut-être des axes de progrès. Tout en ne conservant que ce qui est réaliste et applicable dans notre contexte.

Après tout les chefs militaires ont étés confrontés à la notion d’opposition depuis bien plus longtemps que nous et il y a probablement des choses à apprendre de leur expérience !

A commencer par un intérêt accru pour l’adversaire lui-même, et non plus seulement les paquets de données qui franchissent la passerelle. La réflexion stratégique accorde en effet une grande importance à l’adversaire : ses moyens, ses motivations, ses contraintes, ses opérations passées… Autant d’informations qui peuvent aider à anticiper et contrer ses actions.
En matière de SSI cette approche est très neuve. Elle commence certes à prendre forme (CrowdStrike, Mandiant…) mais elle est encore loin d’être généralisée. Elle incarne toutefois probablement l’une des ruptures les plus franche avec notre pratique actuelle de la sécurité.

Autre enseignement que l’on peut tirer du monde militaire : la guerre est dynamique. La situation, le rapport de force et les perspectives changent continuellement, les plans deviennent rapidement obsolètes s’ils ne sont pas mis à jour en temps réel et il convient donc de surveiller les évènements de manière continue.

Or la SSI a longtemps été statique : les règles des pare-feux ou les signatures des IDS  regardaient passer les paquets en attendant leur prochaine mise à jour. Fort heureusement notre industrie n’a pas attendu les stratèges militaires pour progresser sur ce front : après les règles statiques la SSI s’est ensuite intéressée à la modélisation des comportements (l’on mesure le comportement nominal d’un utilisateur, d’une machine ou d’un réseau et l’on donne l’alerte dès que celui-ci dévie de manière significative). Il s’agit là d’un premier pas bienvenu vers plus de souplesse et cela montre que notre industrie a à coeur de s’adapter.

Mais la prochaine étape de cette évolution devra conduire la SSI vers encore plus de dynamisme. D’abord, on l’a vu, en se projetant au devant de l’adversaire afin de mieux le connaître pour anticiper ses actions. Mais aussi, derrière les lignes, en réalisant une surveillance continue de infrastructures afin d’évaluer les menaces en temps réel selon la criticité des actifs (ces derniers étant également inventoriés en temps réel et leur importance réévaluée en permanence).

Si elle veut rester efficace, la sécurité des systèmes d’information devra donc introduire le temps réel et la surveillance continue dans ses processus. Et en cela, le glissement sémantique entre « cyber-sécurité et « cyber-défense » est peut-être le signe que cette évolution est déjà en cours, dans les esprits du moins. Car « sécurité » est un terme très statique : il s’agit de l’état final recherché. Tandis que la défense représente l’ensemble des moyens que l’on déploie pour y parvenir. C’est donc un terme dynamique, qui désigne notamment la capacité à s’adapter continuellement à des conditions changeantes (la menace). Ainsi l’on pourrait argumenter que la cyber-défense mène à la cyber-sécurité. Et qu’en parlant seulement de cyber-sécurité l’on se focalisait jusqu’à présent sur l’objectif tandis qu’en parlant de cyber-défense on met l’accent sur les moyens.
Certes, nous sommes ici dans le discours de puriste, voire d’un simple jeu sur les mots. Mais il arrive que le remplacement progressif d’une expression par une autre dénote un glissement de la perception collective du sujet, et donc soit précurseur d’une évolution de fond.

Mais revenons l’Art de la Guerre, et surtout son parallèle avec notre métier.

La SSI doit désormais également s’intéresser aux « signaux faibles » (voilà d’ailleurs un autre bon candidat à l’Oscar des buzzwords). Or là encore l’expérience du monde militaire peut nous être utile, notamment grâce à sa culture du renseignement.

Mais pour cela, un changement de paradigme s’impose. La SSI se repose en effet encore fortement sur la machine pour l’ensemble de la chaîne sécurité : des logiciels (IPS / IDS, pare-feu, antivirus) s’occupent de tout. Ils recherchent, découvrent, jugent et condamnent. L’humain n’est pas absent, mais il se contente de choisir puis de superviser techniquement ces solutions. Au mieux passe-t-il après la décision de la machine afin d’en traiter les faux positifs.

Une telle approche n’est tout simplement pas viable lorsqu’il s’agit de détecter des signaux faibles. Pour identifier ces derniers le meilleur outil demeure le cerveau humain, très doué lorsqu’il s’agit de créer des connexions floues et sentir « que ça cloche ». Ce n’est d’ailleurs pas pour rien qu’un certain nombre d’ingénieurs sécurité nous ont confié passer plus de temps à contempler des feuilles Excel à la recherche de séries d’événements à relier entre eux, de manière empirique, plutôt que devant la console de supervision de leurs IDS.

Ce travail, c’est celui d’un analyste. S’il est aujourd’hui fait de manière empirique par des ingénieurs sécurité dans l’entreprise, le domaine militaire, et plus généralement le monde du renseignement, en a quant à lui largement formalisé l’usage. Evidemment, la finalité n’est pas la même et les méthodes seront forcément différentes. Mais l’idée principale demeure : le cerveau humain est l’outil le mieux adapté pour identifier des connexions significatives entre des événements en apparence étrangers. Mais la machine a également un rôle important à jouer dans ce processus : celui de trier des volumes de données massifs et de les présenter sous la forme la plus adaptée afin que l’humain puisse faire son travail. Cela appelle toutefois à une rupture importante dans notre industrie car un tel fonctionnement n’est pas celui des solutions de sécurité déployées actuellement en entreprise.

Enfin, dernière stratégie essentielle pour la détection des signaux faibles : enrôler les collaborateurs de l’entreprise. Là aussi, le domaine militaire pratique la chose de manière naturelle depuis très longtemps : chaque soldat est investi par défaut d’une mission de renseignement à travers son rapport des activités de l’ennemi (et pas uniquement durant le conflit, mais également en matière d’ingérence par exemple, ou de le cadre de la mission de renseignement de proximité des forces de gendarmerie).

Sans aller jusqu’à faire des collaborateurs de l’entreprise des « cyber soldats » comme cela a pu été évoqué, il semble essentiel de pouvoir compter sur eux comme autant de capteurs capables de faire remonter à la SSI des informations diverses (en particulier des appels téléphoniques un peu trop curieux, précurseurs d’une attaque par ingénierie sociale, ou encore des documents PDF fraîchement reçus qui font planter à répétition le lecteur Adobe, etc…). Bref, des cyber-soldats, non. Mais des « Honorables Correspondants » du RSSI, certainement !
Bien entendu, cela implique la mise en place d’une infrastructure et de processus spécifiques afin que cette remontée d’information soit simple, peu contraignante pour le collaborateur et correctement exploitée par la SSI.

En définitive au delà du buzz, l’étude des stratégies militaire présente des opportunités d’ouverture et d’enseignement fondamentales pour les praticiens de la SSI. Ce n’était certes pas le cas il y en encore quelques années, mais les entreprises et leurs RSSI sont désormais confrontés à des adversaires organisés, équipés, mobiles, apprenants. Il paraît donc urgent qu’ils s’initient eux aussi à l’Art de la confrontation.