[XMCO au Club EBIOS] Réunion courante de mars 2020

XMCO prône une approche de la sécurité par les risques techniques ; c’est pourquoi nous avons rejoint le Club EBIOS début 2019.

Tous les deux mois, le Club EBIOS rassemble ses membres autour de thématiques prédéfinies pour des présentations et des discussions dans le domaine de la gestion des risques. Cet article propose un résumé des différents sujets ayant été abordés.

[distance1]Programme de la réunion courante

La réunion courante du 04 mars était composée des présentations suivantes :

• Applications EBIOS Risk Manager dans l’armée de l’air par William Nantier (Armée de l’air)
• Panorama de l’état de la menace par Axel CASTADOT (ANSSI)
• RETEX EBIOS Risk Manager d’un programme spatial de la société AdS par Ian GRISPAN et Damien AUVRAY (AIRBUS CYBERSECURITY)
• Le Club EBIOS, une première au FIC par Sharon CHAN WAH (ORANGE), Cyril PATRIGEON et Serge LEBEL

[distance1]Applications EBIOS Risk Manager dans l’armée de l’air

Lien vers la présentation (à venir) : https://club-ebios.org/site/william-nantier-ministere-des-armees-ebios-risk-manager-et-la-gouvernance-cyber-dans-larmee-de-lair/

La présentation a débuté par une présentation du contexte de l’armée de l’air, en commençant par ses trois missions permanentes :

• Protéger (l’espace aérien) ;
• Intervenir (dans le cadre d’opérations extérieures) ;
• Dissuader (d’éventuelles sources de menaces).

Les quelques centaines de systèmes d’information de l’armée de l’air incluent plusieurs spécificités qu’il convient de connaître pour gérer la gouvernance dont il est question par la suite : fortes contraintes de navigabilité et de temps réel, multiplicité des systèmes d’information embarqués et au sol, fort besoin en confidentialité, sources de menaces étatiques, etc.

L’organisation présentée se divise globalement en trois pôles : la « cyberprotection » dont le rôle est de concevoir les systèmes, d’en apprécier les risques et de les auditer, la « cyberdéfense » constituant le centre des opérations en cybersécurité (SOC) et les responsables de la gestion de crise, ainsi que les « activités offensives » réalisant des tests d’intrusion. Afin d’assurer la cohésion de ces trois pôles, une gouvernance doit être mise en place.

Les objectifs de cette gouvernance nous sont donc présentés :

• Expliquer le niveau de risque en cybersécurité ;
• Déterminer les dépendances entre la mission de l’organisation et le cyberespace ;
• Identifier les chemins d’attaques ;
• Déterminer les conséquences potentielles ;
• Prioriser les efforts de sécurisation.

Le principal outil de cette gouvernance est une cartographie des systèmes d’information, dont la construction a été inspirée par les principes fondateurs d’EBIOS.

Historiquement, il s’agissait d’une simple liste d’entre 500 et 600 systèmes d’information indiquant la criticité de chacun. Cette liste a ensuite été découpée en fonctions (appelées « capacités ») regroupant chacune un ensemble de systèmes d’information. Les dépendances et interconnexions entre capacités ont ensuite été identifiées avant de représenter chaque composant de cette cartographie selon la logique suivante :

• Missions de l’organisation
  • Activités
    • Ensembles opérationnels (systèmes d’armes, infrastructures, centres)
      • Flux de données
        • Réseaux supports
          • Acteurs externes

Chaque composant de ces 7 ensembles et les relations entre eux sont identifiés pour chacun des systèmes d’information de l’armée de l’air. Finalement, la criticité des dépendances est prise en compte selon trois niveaux pour identifier le « chemin critique ».

L’arbre ainsi formé peut finalement servir de base de toute appréciation des risques. En plaçant la focale sur un sous-système ou sur un objet en particulier et en suivant ses liens de dépendance, on peut alors identifier l’ensemble des valeurs métiers et des biens supports qui y sont liés. De la même manière, en choisissant une activité comme « Commander les opérations » et un autre objet de cette cartographie comme un pays ou un acteur externe, il est possible d’identifier des chemins de dépendance, donc des potentiels éléments de scénarios stratégiques au sens d’EBIOS Risk Manager.

Finalement, chaque objet de la cartographie fait l’objet d’une notation selon trois niveaux : « niveau cyber intrinsèque à T0 », « niveau cyber intrinsèque vieilli » et « prise en compte de l’environnement ». Cette notation participe à l’atteinte du dernier objectif présenté de la gouvernance consistant à déterminer « où » les efforts de sécurisation doivent être positionnés en priorité.

[distance1]Panorama de l’état de la menace

Après un rappel des étapes d’une cyber-attaque, l’objectif de cette présentation était de présenter des tendances dans les menaces actuelles.

Rançongiciels

Depuis les campagnes massives non ciblées utilisant des techniques d’hameçonnage jusqu’au « Big game hunting », consistant à cibler des victimes pour lesquelles une attaque ciblée sera effectivement rentable, le nombre de ce type d’attaques ne cesse d’augmenter. Plus de détails sur cette menace sont disponibles dans le rapport « État de la menace rançongiciel », disponible sur le site du CERT-FR.

Prolifération des outils d’attaque

L’exemple d’EternalBlue, vulnérabilité de Microsoft Windows ayant servi de base au logiciel malveillant WannaCry, est utilisé pour illustrer ce point : les premiers scans à la recherche de cibles vulnérables débutent seulement quelques heures après la divulgation d’un code d’exploitation d’une vulnérabilité connue. Les processus d’application des correctifs de sécurité, mais aussi de détection des intrusions et tentatives d’intrusion, doivent s’adapter.

Attaques sur la chaîne d’approvisionnement (« Supply Chain attacks »)

Qu’il s’agisse de la compromission d’une société ciblée, fournisseur de la cible visée par les attaquants, ou d’un piégeage logiciel (comme ce fut le cas pour CCleaner en 2017 ou ASUS Live Update en 2019), c’est un vecteur désormais utilisé par les sources de menaces.

Systèmes industriels

Même si le nombre de cas n’est pas nécessairement en augmentation, l’importance des dommages justifie l’importance des menaces liées à ce type de systèmes, de Stuxnet (découvert en 2010) à Triton (découvert en 2017).

Dimension informationnelle

Certaines attaques présentent une disproportion entre les techniques utilisées et l’impact sur l’organisation ciblée. Les attaquants n’hésitent donc plus à compromettre un simple compte Twitter pour diffuser un faux communiqué de presse ayant un impact au moins aussi important que la compromission de systèmes informatiques.

Finalement, deux niveaux d’évolution transparaissent de ces tendances. D’une part, de nouveaux acteurs étatiques apparaissent dans le cyberespace, et d’autre part les cybercriminels s’organisent pour atteindre des revenus supérieurs. Les « anciennes » attaques persistent et les motivations des attaquants, notamment financières, augmentent.

[distance1]RETEX EBIOS Risk Manager d’un programme spatial

Lien vers la présentation (à venir) : https://club-ebios.org/site/ian-grispan-et-damien-auvray-retex-ebios-risk-manager-dans-des-environnements-larges-et-complexes/

Pour rappel, la méthode EBIOS Risk Manager est constituée de 5 ateliers :

• Cadrage et socle de sécurité ;
• Sources de risques ;
• Scénarios stratégiques ;
• Scénarios opérationnels ;
• Traitement du risque.

Ce retour d’expérience incluait des points d’attention et des éléments d’organisation de la réunion d’initialisation de la mission et des trois premiers ateliers selon la méthode EBIOS Risk Manager. L’appréciation des risques en question étant encore en cours, une suite devrait être présentée pour inclure les ateliers 4 et 5.

Dès les premières étapes, un premier point d’attention a été porté sur la nécessité de convaincre sur l’efficience de la méthode. En effet, les ateliers nécessitent de réunir parfois une dizaine de personnes, dont plusieurs membres de la direction, pendant 2 à 3 heures. Des entretiens, souvent réalisés en série par le passé, sont, selon la méthode EBIOS Risk Manager, coordonnés dans un unique atelier invitant l’ensemble des contributeurs à participer.

Plus globalement, un second point d’attention a été présenté sur la nécessité de conserver le dynamisme de chacun des entretiens. Pour cela, un binôme de « risk analysts » est nécessaire : l’un anime pendant que l’autre consigne les échanges qui seront la matière première de l’appréciation des risques. Un risque présenté comme l’un des plus importants était en effet celui des digressions : tout temps mort lors de l’atelier laisse place à la discussion de sujets sans rapport avec l’objectif recherché. L’approche collaborative de la méthode semble cependant avoir été appréciée par les différents intervenants de ce projet.

Concernant l’atelier 1, la présentation et la formation des intervenants aux notions de vocabulaire d’EBIOS Risk Manager a semblé nécessaire. Si lors du premier atelier, des confusions entre « risque », « menace » et « impact » étaient visibles parmi les intervenants, ces derniers se corrigeaient spontanément dès l’atelier 3. Un langage commun facilite les échanges, donc la poursuite de l’objectif de chaque atelier.

Lors de l’atelier 2, les intervenants ont apprécié se placer du point de vue de l’attaquant pour identifier les objectifs visés pertinents. Afin de présenter directement le lien entre les ateliers aux intervenants, la liaison entre sources de risques/objectifs visés et événements redoutés ont été réalisés lors de la réunion de l’atelier 2.

Spécifiquement sur l’atelier 3, des difficultés ont été rencontrées sur l’utilisation de la méthode d’évaluation des parties prenantes proposée dans les fiches méthodes pour la construction de la cartographie de menace numérique de l’écosystème. Particulièrement, la notion de « maturité cyber » a été discutée, entre maturité « réelle » (basée sur des faits, plutôt présentée par les responsables sécurité) et « supposée » (présentée par les métiers). La construction d’une autre méthode ou l’adaptation de celle-ci a été envisagée pour pallier cela. Par ailleurs, la préparation de la liste des parties prenantes en amont de l’atelier a permis d’optimiser celui-ci et de concentrer le temps passé sur leur évaluation.

Globalement, la mission étudiée a permis d’identifier 7 valeurs métiers, 15 parties prenantes critiques et 6 scénarios stratégiques. 49 scénarios opérationnels à instruire ont d’ores et déjà été identifiés pour les ateliers suivants.

La prochaine réunion du Club est prévue le 13 mai 2020, 14h.

Références

https://club-ebios.org/site/
https://club-ebios.org/site/calendrier-reunion/reunion-courante-de-mars-2020/

Image de couverture : le logo est la propriété exclusive du Club EBIOS.