Lors d’une conférence à l’École de Guerre Économique organisée par le club Cyber de l’AEGE le 6 novembre 2018, Monsieur Laurent Heslault, directeur des stratégies de cybersécurité chez Symantec, a détaillé ce qu’il appelle « L’épidigitalogie », ou l’évolution de l’épidémiologie digitale. Allant de la genèse des premiers virus au plus contemporain des maliciels, de nombreux parallèles peuvent être tirés entre l’épidémiologie et l’analyse de cyberattaques. La conférence permis de mettre en exergue notre niveau de cyberdépendance, et apporter ainsi des solutions de cyberdéfense afin de continuer à tirer parti des opportunités de la transformation numérique.
Afin de comprendre ce qu'on nomme « épidémiologie », il faut se rendre dans le Londres de 1854, lors de la « Great Stink » (Grande Puanteur), une pandémie de cholera. Les fosses septiques de la capitale anglaise étaient alors vidées chaque nuit pour emmener les déchets sur les champs en guise d’engrais. Le coût financier des travailleurs chargés de cette basse besogne devient trop lourd pour la ville de Londres qui ne cesse de s’étendre, laissant ainsi ces fosses déborder. C’est là qu’apparaissent les premiers cas de choléra.
L’épidémiologie, étude des vecteurs de transmission
John Snow, jeune médecin formé à de nombreuses spécialités médicales (chirurgie, anesthésie, pharmacologie…), invente ce que l’on appelle alors l’épidémiologie. Il se lance dans nombres de recherches, avec notamment, l’aide du « diagramme de Voronoï », lui permettant ainsi de délimiter des zones frappées par la pandémie. Constatant que le choléra se transmet par l’eau, il réussit alors à faire condamner la pompe à eau de Broad Street. Par la suite, il pousse à la mise en œuvre d’immenses travaux d’urbanisation afin de contrer la maladie.
Grâce à sa vision globale de la problématique, de l’accès aux contacts locaux, de l’identification des symptômes, de la localisation des victimes et du vecteur infectieux, John Snow donna naissance à la première forme de « Security Operation Center » (SOC), ayant pour principal objectif la sécurisation de l'organisation et de l’information.
L’épidémiologie est donc la science de la distribution des phénomènes de santé dans une population et des facteurs qui conditionnent leurs fréquences. Bien que venant du monde médical, cette discipline s’intègre parfaitement dans l’étude du cyberespace, notamment avec l’arrivée des premières menaces virtuelles. Il est primordial de savoir qu’aujourd’hui les cyberattaques sont bien plus redoutées que les pandémies. C’est pourquoi, l’épidémiologie se caractérise comme un outil performant, permettant de palier à ces menaces en regroupant trois points essentiels : pathogène, hôte et environnement.
Application de l’épidémiologie au cyber
Dans le domaine du cyberespace, le pathogène se traduit sous forme de maliciels . Pour se situer, en 2005 on dénombrait 5 nouveaux maliciels par jours. En 2017 on compte environ 1,8 millions nouveaux maliciels par jour, avec des pics pouvant jusqu’à aller à 3 millions. Avec l’avancée technologique ainsi que celle des cyberattaquants sur le web, certains utilisent des logiciels dits « fileless » (sans fichier) (ex : macro, javascript…), ces derniers ne disposent pas de signature et sont donc difficile à détecter. En revanche, nous pouvons voir le nombre de vulnérabilité (ou failles) dans le but de les patcher (corriger) afin d’endiguer au maximum la menace.
Autre facteur important : la taille des virus. Il est difficile d’imaginer que des fichiers si légers puissent faire autant de dégâts. Pour certains logiciels de protection, ces fichiers ne valent pas la peine d’être analysés, et ils passent ainsi au travers des mailles du système de protection et causent des dommages considérables. Le temps est aussi un facteur déterminant, car certains de ces malwares ne se déclenchent pas immédiatement. Ils se déclenche à la suite d'une action ou au terme d’un compte à rebours avant de s’exécuter pour duper les antivirus et pirater l’utilisateur. Désormais les solutions de sécurité sont davantage basées sur des analyses comportementales et le machine learning plus que sur la classique « base de signatures ».
Deuxième point de la triade épidémiologique : l’hôte. Tout ce qui interagit dans le monde du cyberespace est « piratable ». Téléphone, périphérique Bluetooth, carte SD, disque dur externe, souris, clavier, sont autant d’éléments susceptibles d’accueillir ces malwares.
Troisième et dernier point : l’environnement. Autrefois, l’architecture réseau était bien plus simple à illustrer que celle d’aujourd’hui. En effet, le plan du réseau – généralement en local – pouvait être schématisé en quelques secondes. Aujourd’hui, avec l’apparition des clouds et des omni-connexions entre les appareils, l’environnement réseau devient de plus en plus complexe et difficile à cartographier.
L’ensemble de ces éléments posent une question essentielle : peut-on vraiment naviguer sans danger ?
La seule solution à ces menaces serait d’interagir sur deux axes. L’un en amont, avec la gestion des risques dans une optique de préparation et de prévention. Le deuxième sur la gestion des incidents, afin de détecter et de répondre aux menaces et attaques. Cela implique la maîtrise des points de contrôles (terminal, proxy, mails, clouds…), pour se protéger au mieux des malveillances virtuelles.
Selon Laurent Heslault : « c’est le seul moyen de mettre en place la problématique de l’orchestration de la cybersécurité. »
Club Cyber AEGE