2018 a évidemment vu s’élargir le cadre réglementaire : on oubliera difficilement le 25 mai, date où le RGPD est entré en vigueur ! Les projets liés à des réglementations sur les opérateurs critiques (LPM, NIS) ou sectorielles (NYS DFS, HKMA, MAS…) ont également rythmé l’année.

Du point de vue de la menace, 2018 présente un bilan plus varié que 2017 et la prédominance de NotPetya. Nous avons en effet observé 3 tendances :

• Le maintien des ransomware en première place des interventions de notre CERT, y compris avec certaines résurgences de Wannacry ;
• La multiplication des incidents de plus faible intensité que les ransomware massifs de 2017 mais dommageables à l’échelle des entreprises ; en particulier en matière de fuite de données des clients ;
• Plus préoccupant, la multiplication d’attaques de plus en plus astucieuses, plus proches des processus métiers comme celles qui ont touché de nombreuses banques, ou plus intégrées dans les systèmes techniques comme la série des attaques MageCart touchant le cœur du fonctionnement des sites Internet.

Il est évident que ces attaques continueront en 2019, la cybercriminalité restant malheureusement une activité très rentable.

Si le numérique est de plus présent dans les métiers de tous les secteurs (Industry 4.0, Open Data, DSP2…), ce qui va véritablement marquer 2019, c’est l’accélération autour de trois axes :  l’agilité, le cloud et l’API-fication des services IT et des applications. Le temps de l’expérimentation est derrière nous ; place désormais à l’ère de la concrétisation de ces transformations.

Les 3 axes de la révolution du SI en 2019

Agilité : plus réactif, plus rapide, plus simple

Les grandes entreprises ont démarré, parfois à marche forcée, des migrations vers un fonctionnement agile à grande échelle. Face à cette transformation, le RSSI doit s’approprier ces méthodologies et travailler de façon rapprochée avec les équipes de développement pour qu’elles se saisissent des enjeux de la cybersécurité.  Dans un premier temps, ce rapprochement permettra l’intégration de la sécurité dans les projets agiles par le biais d’Evil User Stories, de formation des équipes à la sécurité, de mise en œuvre d’outils d’intégration continue et d’intégration de tests d’intrusion dans le cycle de développement. Ce mouvement est déjà bien entamé avec des premiers accompagnements réussis.

Au-delà de l’intégration de la cybersécurité dans les projets agiles, c’est la cybersécurité qui devra prendre le tournant de l’agilité en s’intégrant dans un nouveau modèle opérationnel. Non seulement les équipes cybersécurité s’inscriront dans cette organisation agile en rejoignant les Feature Teams pour donner de la visibilité au RSSI sur les risques identifiés dans ces projets, mais elles seront également capables de fournir des services de sécurité en mode agile. Des Product Owners portant des services de sécurité apparaîtront pour délivrer de la cybersécurité as a service au sein de l’organisation.

Cloud : sécurisé par défaut, multiple, automatisé

Le second axe est l’utilisation à grande échelle du Cloud. En 2019, l’addition des premières expérimentations déclenchera une réaction en chaîne vers le Cloud-first, voire pour nos clients les plus avancés le Cloud-Only. Au-delà des applications, le mouvement de migration des infrastructures est entamé, y compris pour des composants clé comme l’Active Directory.

Toutes ces avancées prometteuses impliqueront un changement de métier des DSI. Dans ce contexte, le RSSI devra s’adapter à ce nouveau modèle opérationnel afin de s’assurer du maintien de la sécurité des configurations dans le temps et d’ouvrir le dialogue avec ses nouveaux interlocuteurs. Il pourra encourager l’utilisation des nouvelles capacités d’auto-remédiation et de reconstruction des systèmes en cas d’incident de sécurité.

Cette situation nécessitera des adaptations pour fournir une vue globale en matière de surveillance du SI, d’administration et de gestion des droits. La sécurité devra être intégrée dès la conception des architectures dans les modèles de configuration et s’appuyer sur les briques des fournisseurs. Les droits pourront être attribués de façon extrêmement granulaire pour limiter les risques d’accès illégitime aux ressources. Ils devront être revus de manière automatisée pour s’adapter aux changements fréquents.

Le cloud, c’est aussi un virage à prendre pour les filières sécurité : le RSSI sera en première ligne pour adopter et tirer le meilleur parti des offres du marché : analyse de vulnérabilités, contrôle d’accès, MFA, Identity Governance, filtrage de contenu… nombre de ces services disposent déjà d’une offre crédible dans le cloud. Le multicloud basé sur 2 fournisseurs deviendra une priorité pour permettre la continuité des services.

API-fication : de multiples nouvelles portes d’entrée pour le SI

Le troisième axe est la multiplication des API. Poussée dans le secteur financier par la réglementation DSP2, l’API-fication touche tous les secteurs et permet de faire interagir des services en standardisant les moyens d’échanges de données.

Nous constatons chez nos clients les difficultés de la filière sécurité à maîtriser ce nouvel enjeu. Si l’API-fication pourra être un levier pour faciliter la sécurisation des échanges machine à machine par l’uniformisation, le chiffrement ou l’authentification, elle présente certains risques liés à leur multiplication et leur large surface d’exposition. En effet, même de grands acteurs comme Google ou Facebook parviennent difficilement à maîtriser ce sujet comme l’ont montré les incidents de 2018.

Si le RSSI veut reprendre en main le terrain de jeu de l’API-fication, il doit, dès maintenant, investir ce théâtre d’opération avec tous les moyens existants, y compris les plus innovants. Il ne pourra pas se contenter de simplement définir une gouvernance ou tenter, dans un premier temps, d’inventorier les API exposées ; il devra anticiper et être en mesure de surveiller et contrôler un grand nombre d’API.

Une révolution qui exige une révision des fondamentaux dans un contexte de pénurie des compétences

Révolution profonde du SI, réglementations toujours plus présentes et aux sanctions exponentielles ; comment les filières sécurité peuvent-elles sortir de l’étau qui les enserre ? Pour y parvenir, nous identifions 3 grands chantiers :

• Refondre la PSSI et la gouvernance. Elles devront être revues sur la base de la stratégie sécurité existante. Pour accélérer et cadrer la démarche, le RSSI pourra s’appuyer sur le cybersecurity framework du NIST, un référentiel cybersécurité américain en passe de devenir incontournable pour les grands groupes de tous secteurs ;
• Revoir en profondeur les processus d’intégration de la sécurité dans les projets. Après avoir été amendés en 2018 pour les besoins du RGPD, ils devront être repensés dans le but de gagner davantage en agilité et en flexibilité. Les autorités ont rejoint ce mouvement, l’ANSSI ayant modernisé la méthodologie d’analyse de risques EBIOS, nouvellement nommée EBIOS Risk Manager» par une approche combinant conformité et scénarios d’attaque ;
• Anticiper et s’adapter à une pénurie de talent récurrente. Pas de solution magique bien sûr, mais une multitude de pistes est à tester. D’un point de vue technique, l’automatisation, la migration vers le cloud, l’instauration d’un cadre fort instaurant les principes de security by design permettront des limiter les efforts. De même, la création d’offres de services sécurité, le near voire offshoring pour des services standardisés peuvent être des solutions.

Pour relever les défis de demain, le RSSI devra donner un nouveau souffle à la filière sécurité en créant un environnement stimulant, ambitieux et formateur permettant l’empowerment (ou « autonomisation ») des équipes. Cela suscitera des vocations et des envies de mobilités internes.

Au-delà de la refonte des fondamentaux, nos 5 priorités pour les filières SSI

• La cyber-résilience bâtie sur le cloud : l’évolution des solutions permet d’envisager d’utiliser le cloud comme solution de continuité face aux cyberattaques comme c’est déjà le cas pour la messagerie. Afin de tester l’efficacité de la réponse à ces attaques, les exercices de crise sur table seront complétés par des vrais entraînements sur des systèmes simulés ;
• Le SOC est mort, vivent les Fusion Centers regroupant des savoir-faire techniques et métiers, permettant d’appréhender de bout en bout d’éventuelles fraudes ou intrusions dans le système d’information et de réagir au mieux. Par des nouvelles générations d’outils d’automatisation et de machine learning, le SOC pourra détecter les attaques plus finement et plus rapidement ;
• Le début de la fin pour les mots de passe : des initiatives comme le 0-password, le déploiement de FIDO2, la biométrie dans le cadre du 2FA ou encore la généralisation des coffres-forts permettent de l’envisager ;
• L’IA et le machine learning représentent des opportunités à moyen terme qui méritent d’être testées, voire implémentées pour les filières cybersécurité les plus avancées. Cependant, la priorité de 2019 sera de s’assurer de la prise en compte des risques et vulnérabilités spécifiques (inférence, empoisonnement…) dans les projets métier incluant de l’IA ;
• Les tiers et les fournisseurs sous microscope : de nombreuses attaques sont aujourd’hui observées sur les fournisseurs, ce qui n’entache pas moins l’image de la société cliente qui reste responsable.Il y a un besoin, en 2019, de mieux cartographier les interactions avec les prestataires afin d’évaluer la sécurité de ceux-ci. C’est un travail complexe vu leur nombre, leur diversité et leurs imbrications. Des start-ups comme CyberVadis ou Risk Ledger abordent ce problème sous un angle neuf.

Faire de la sécurité un différenciateur vis-à-vis des clients de l’entreprise

Souvent ignorée, parfois rejetée, la sécurité était jusqu’à très récemment sommée d’être transparente pour être tolérée. La médiatisation quasi quotidienne des fuites de données et des fraudes a remis la cybersécurité au centre du jeu.

En 2019, la sécurité ne pourra pas se contenter d’être une ligne de défense essentielle dans toute entreprise et devra être vue comme génératrice de valeur pour le core-business.

Ce changement concerne quasiment tous les secteurs d’activité. Bien sûr, vient immédiatement à l’esprit le secteur bancaire : double authentification, cryptogramme dynamique, notification en cas de mouvements suspects… mais il n’est pourtant pas le seul :

• L’automobile, avec la sécurisation « visible » du véhicule connecté, avant de passer au véhicule autonome demain ;
• Les opérateurs télécom, dont certains promeuvent leur nouvelle box avec des services de cybersécurité comme la détection de vulnérabilités ;
• Les fournisseurs de services au grand public (transport, énergie, eau…) où la cybersécurité est requise dans les processus de vente et peut-être un différenciateur.

Sous l’impulsion du RSSI, la filière sécurité doit saisir ces opportunités pour se rapprocher des métiers et montrer son apport dans le cœur de l’activité de son organisation. Des acteurs de renom comme Apple ont adopté cette approche en mettant la sécurité et le respect de la vie privée au cœur de leur proposition de valeur.

Alors pourquoi pas vous ?

Cet article 2019 : Le RSSI au cœur de la révolution du SI est apparu en premier sur RiskInsight.

L’ordinateur quantique devient peu à peu réalité

Le domaine de l’informatique quantique a connu de nombreuses avancées depuis les premiers travaux de recherche des années 80, notamment ceux de Richard Feynman, et l’apparition dans les années 90 des premiers algorithmes quantiques. Les premiers prototypes d’ordinateurs quantiques ont vu le jour dans les années 2000, et on constate depuis le début des années 2010 la multiplication d’annonces concrètes et encourageantes en la matière, comme la mise sur le marché par D-Wave Systems du premier ordinateur quantique commercial, la mise à disposition d’un ordinateur quantique dans le Cloud par IBM ou l’annonce récente par Google d’un nouveau processeur quantique. Au niveau européen, on peut également mentionner le lancement du simulateur quantique d’Atos l’année dernière, permettant de tester et d’optimiser des algorithmes quantiques en vue de leur utilisation en conditions réelles.

Comme nous l’expliquions dans un article précédent, la différence fondamentale entre un ordinateur classique et un ordinateur quantique vient de ce que l’ordinateur classique travaille sur une série de bits dont la valeur est soit égale à 1, soit à 0 tandis que l’ordinateur quantique travaille sur des qubits dont la valeur correspond à une superposition d’états. Il est parfois possible, pour un problème donné, d’écrire un algorithme quantique qui, tirant partie de cette superposition d’états et du principe d’intrication quantique, pourra le résoudre plus rapidement qu’un algorithme classique. Cette accélération quantique n’étant valable que pour un ensemble limité de problèmes pour lesquels un tel algorithme peut être écrit, il est vraisemblable que l’ordinateur quantique soit utilisé à l’avenir en complément de l’ordinateur classique, et qu’il ne sera pas amené à le remplacer totalement.

Les ordinateurs quantiques existants ont aujourd’hui une capacité très réduite. Le processeur quantique de Google est de 72-qubits, tandis qu’Intel a récemment annoncé le développement d’un processeur quantique de 49-qubits. A titre de comparaison, Google estime le nombre de qubits nécessaires pour une application réelle entre 1 et 10 millions. La difficulté principale de conception d’un ordinateur quantique de plus grande capacité réside dans le fait que toute interaction avec l’extérieur induit un phénomène de décohérence quantique qui ne permet pas de préserver l’intrication quantique nécessaire à son fonctionnement. Plus le nombre de qubits est élevé, plus il est difficile de maintenir cet état de cohérence. Cela nécessite l’isolation du système à très basse température. On peut estimer, au vu de l’évolution actuelle et des obstacles encore à franchir, être encore loin de toute application pratique des ordinateurs quantiques.

Les applications de la cryptographie classique

Pour saisir les implications que peuvent avoir les ordinateurs quantiques sur la cryptographie, il est important de bien comprendre les principes de la cryptographie classique et ses applications.

La cryptographie classique est composée de différents types d’algorithmes :

• La cryptographie asymétrique (ou à clé publique) utilisée pour établir un canal chiffré entre deux parties, pour l’authentification ou encore la signature électronique (exemples : Diffie-Hellmann, RSA, cryptographie sur les courbes elliptiques). La cryptographie asymétrique est généralement basée sur les problèmes de factorisation d’entiers ou du logarithme discret.
• La cryptographie symétrique (ou à clé secrète) utilisée pour chiffrer efficacement des données, notamment lorsqu’un canal chiffré a été établi au préalable par des algorithmes asymétriques (exemples : AES, DES). La cryptographie symétrique est basée sur les principes de diffusion et de confusion.
• Les fonctions de hachage utilisées pour vérifier l’intégrité d’un fichier ou des certificats électroniques (exemples : MD5, SHA-2). Les fonctions de hachage reposent sur les effets d’avalanche qui font que chaque bit de sortie dépend de chaque bit d’entrée.

En quoi l’ordinateur quantique change la donne

Parmi les algorithmes quantiques les plus connus et les plus anciens, on trouve l’algorithme de Shor permettant de factoriser des entiers ou de résoudre le problème du logarithme discret de façon efficace. Le jour où l’on pourra construire un ordinateur quantique suffisamment large pour traiter des grands nombres en utilisant l’algorithme de Shor, c’est toute la cryptographie à clé publique basée sur ces problèmes qui deviendrait caduque.

Un autre algorithme quantique notable est l’algorithme de Grover, qui permet d’inverser une fonction. Les applications de cet algorithme permettent de chercher des éléments dans une liste non-ordonnée ou dans une base de données non-structurée de façon efficace, ce qu’on peut imaginer être semblable à chercher une aiguille dans une meule de foin. L’algorithme de Grover permet ainsi d’accélérer la recherche d’une clé de chiffrement symétrique, sans pour autant remettre en cause les principes de la cryptographie à clé secrète.

Cryptographie post-quantique

La cryptographie post-quantique désigne des algorithmes cryptographiques qui ne se basent pas sur des problèmes pouvant être résolus plus rapidement par un ordinateur quantique. Ces algorithmes ne seront ainsi pas remis en cause par l’avènement d’un ordinateur quantique pour l’instant hypothétique. Elle ne doit pas être confondue avec la cryptographie quantique qui est une cryptographie exploitant les phénomènes quantiques pour parvenir à ses fins. Le challenge de la cryptographie post-quantique est double :

• Fonder une nouvelle cryptographie à clé publique qui ne se base pas sur les problèmes de factorisation d’entiers ou de logarithme discret ;
• Renforcer la cryptographie à clé secrète pour la rendre résistante aux capacités de recherche de clés des ordinateurs quantiques.

La cryptographie à clé publique devra être repensée entièrement, en employant de nouveaux systèmes cryptographiques basés par  exemple sur les codes correcteurs d’erreurs ou les réseaux euclidiens. Si de nombreuses solutions théoriques existent, des recherches sont encore nécessaires pour les faire déboucher sur des solutions concrètes. Il existe plusieurs initiatives qui visent à stimuler la recherche dans ce domaine, comme la série de conférences PQCrypto qui ont lieu depuis plus de dix ans, ou encore le processus d’évaluation initié récemment par le NIST afin d’aboutir à une standardisation d’un ou plusieurs algorithmes cryptographiques post-quantiques.

La cryptographie à clé secrète est considérée robuste dans un monde post-quantique à condition que la longueur des clés utilisées soit suffisante. Le doublement de la taille des clés est une mesure de sécurité suffisante contre les ordinateurs quantiques. Par exemple, l’algorithme de chiffrement AES verra sa sécurité diminuée mais pourra encore être utilisé avec une taille de clé de 256 bits. La sécurité des protocoles basés sur ces algorithmes, comme Kerberos, ne devrait pas être fondamentalement remise en question.

Quant aux fonctions de hachage, les algorithmes quantiques ne semblent pas permettre de trouver plus rapidement que les algorithmes classiques des collisions qui les remettraient en cause. Les fonctions de hachage resteront donc sûres dans un monde post-quantique.

Une menace encore lointaine

La venue d’un ordinateur quantique d’une capacité suffisante pour poser une menace à la cryptographie classique est encore lointaine. D’ici là, on peut penser que les recherches en matière de cryptographie post-quantique seront bien avancées, et que le changement des constructions cryptographiques pourra être largement anticipé.

Cet article Etat des lieux de la cryptographie post-quantique est apparu en premier sur RiskInsight.

Un concours digne d’une compétition sportive

Au Paris Hotel de Las Vegas, Nevada, s’est déroulé en août 2016 cet étrange concours digne d’une compétition sportive. Pendant près de 12 heures, d’imposantes machines, appelées Cyber Reasoning Systems se sont affrontées dans l’arène devant un public de 3000 personnes, auquel les présentateurs expliquaient les tentatives d’attaques et les corrections de vulnérabilités grâce à des représentations en 3D très parlantes. Organisé par la DARPA, ce concours avait un double but : valider le concept de cyberdéfense automatisée et stimuler la recherche en offrant 4 millions de dollars de prix, dont 2 à l’équipe vainqueur.

Selon Mike Walker, responsable du programme du Cyber Grand Challenge, les failles de sécurité exploitées dans la nature le seraient pendant 312 jours en moyenne avant leur détection et le temps médian de correction après détection serait de 24 jours. Un délai très long pendant lequel les systèmes restent vulnérables et que la DARPA souhaiterait voir réduit à quelques minutes ou secondes, en confiant aux machines la tâche de détecter et de corriger elles-mêmes ces failles de sécurité.

Depuis l’annonce du concours en 2013, la DARPA qui prend le sujet très au sérieux, y a investi 55 millions de dollars. 7 équipes aux propositions intéressantes ont été invitées à participer au concours en recevant une aide financière mais l’entrée restait ouverte à toute équipe auto-financée souhaitant relever le défi. En juin 2015, les qualifications ont eu lieu sur Internet pendant 24 heures au cours desquelles les équipes devaient trouver le maximum de vulnérabilités affectant 131 programmes. Sur plus de 100 équipes les 7 meilleures se sont qualifiées pour l’événement final, touchant 750.000$ au passage afin de s’y préparer. Parmi elles, 3 équipes financées par la DARPA et 4 équipes auto-financées.

Au bout de 12 heures de compétition acharnée, c’est Mayhem, le CRS de l’équipe ForAllSecure qui a remporté la victoire malgré une difficulté technique qui l’a empêché de soumettre des correctifs pendant une partie de l’épreuve. Mayhem a eu le privilège de pouvoir concourir au concours « normal » de la conférence DEFCON où s’affrontaient les meilleures équipes de hackers du monde entier. Mayhem est arrivé bon dernier de ce concours, mais à quelques points seulement de la dernière équipe humaine. Ce résultat peut être comparé à la progression des machines contre les humains aux échecs en conditions de tournoi : entre les premières victoires des machines contre des maîtres au début des années 80 et le moment où les machines parvenaient à battre des grands maîtres de façon régulière au milieu des années 2000, 25 ans se sont écoulés.

Si les machines talonnent aujourd’hui les meilleures équipes de hackers, de quoi seront-elles capables dans 10 ou 20 ans ?

Vers un monde plus sûr ?

David Brumley, CEO de ForAllSecure spinoff de l’université Carnegie Mellon, souhaite que dans le monde ultra connecté qui est le nôtre, chacun puisse avoir la garantie que les objets et les applications que nous utilisons soient sûrs, sans s’en remettre uniquement à leurs développeurs. Mais si le développement d’une cyberdéfense automatisée est une aubaine pour la société civile, on peut bien imaginer quelles implications offensives ces recherches pourraient avoir. Découvrir rapidement et en grande quantité des bugs dans des programmes fournirait autant de munitions à un état décidé à attaquer des systèmes d’organisations ou d’autres nations n’étant pas alignées avec ses intérêts. Et l’on peut être sûr que la DARPA, dont la vocation première est militaire, en a parfaitement conscience.

Cet article Et si les machines assuraient leur propre cyberdéfense ? est apparu en premier sur RiskInsight.