DICIS: R&D wallonne pour défis de sécurité IT endémiques

Pratique
Par · 13/08/2015

Pendant deux ans, la Région wallonne devrait co-financer à hauteur de 55% (la signature est attendue d’ici quelques semaines) un projet de R&D orienté sécurité informatique destiné à fournir aux entreprises, peut-être plus particulièrement aux PME, les instruments nécessaires à une évaluation rapide et efficace des risques informatiques qu’elles encourent au quotidien. Avec, dans la foulée, la faculté de mieux identifier les “root causes” et d’éviter – en les bloquant ou solutionnant – que les mêmes problèmes ne se reproduisent systématiquement.

Le projet, baptisé DICIS (acronyme de détection, interception et classification d’incidents de sécurité), vise à développer “une plate-forme la plus automatisée possible permettant d’analyser, classifier, corréler les informations multiples et complexes concernant des incidents suspects”, explique Tanguy Derriks, directeur d’Ozoos, société spécialisée en sécurité qui est à l’origine de ce projet.

Trois finalités figurent parmi les objectifs à concrétiser:

  • détection, interception et classification des incidents
  • évaluation (temps réel) des risques et sécurisation dynamique
  • suivi de l’évolution de la politique de sécurité, selon le type de risque et de comportement (de l’utilisateur ou de l’entreprise).

Pourquoi une société locale se lance-t-elle dans ce genre de projet alors que le marché déborde d’acteurs, souvent de grande envergure, qui se sont spécialisés dans le monde de la sécurité, de la détection d’incidents et de la protection des infrastructures informatiques?

Là où le bât blesse…
  • manque de conscientisation des entreprises
  • manque de compétences, en interne (surtout au niveau des PME)
  • politiques de sécurité qui, quand elles existent et sont mises en oeuvre, sont trop statiques
  • offre de formations insuffisante ou réservée aux (grandes) sociétés qui ont les moyens de les financer
  • manque de visibilité sur les incidents et sur les résultats d’investigation de ces incidents, attaques, fraudes…
  • manque de conseils, d’accompagnement et de solutions de remédiation et d’investigation des fraudes, failles, mauvais comportements existants
  • difficulté à “mesurer” le risque
  • technologie mouvante, “souvent jeune, éphémère, complexe, avec des produits souvent inadaptés aux besoins locaux et aux ressources financières dont disposent les petites entreprises voire même le secteur public”
  • coûts des solutions et prestations: audit de sécurité, conseils (“souvent orientés et partiaux”)

“Le marché manque de plates-formes et d’outils dédiés spécifiquement à la gestion des incidents de sécurité. La matière est trop complexe.” La liste des manquements, telle qu’énumérée par Tanguy Derriks, est longue. Voir en encadré ci-contre.

Par ailleurs, poursuit-il, “les sociétés sont livrées à elles-mêmes en raison du modèle dominant qui est celui de la vente de licences, qui les laisse seules face au défi de la mise en oeuvre alors qu’elles manquent de compétences pour le faire et qu’elles ne les trouvent pas, ou pas aisément, sur le marché. Par ailleurs, trop de temps s’écoule encore entre la détection et l’analyse d’un incident ou d’une attaque et la mise en oeuvre d’un correctif.

Voilà pourquoi nous avons eu l’idée de nous lancer dans ce projet de R&D en vue de donner naissance à une plate-forme la plus automatisée possible qui produise dynamiquement une information directement exploitable et qui permette aux entreprises de largement se passer d’expertise interne.”

La solution sera proposée sous forme de services, “consommables” sous forme d’abonnement, “dimensionnés” selon le type d’infrastructure dont dispose une entreprise et en fonction de son secteur d’activité.

Tanguy Derriks: “Les produits existants sont souvent inadaptés aux besoins locaux et aux ressources financières dont disposent les petites entreprises voire même le secteur public.”

“Le but n’est pas de remplacer les solutions technologiques existantes – les pare-feu, antivirus et autres produits – mais de venir les compléter en procurant à l’entreprise une vue temps réel, un service d’interception d’incidents. Avec mise à disposition, de manière personnalisée, d’une politique de sécurité qui interprète les attaques et incidents et avec un suivi post-incident, sous forme de signalement, de rapports indiquant l’origine du problème (attaque, comportement de l’utilisateur, application vulnérable, faille…) ainsi que les mesures à prendre pour y remédier et éviter qu’il se reproduise.

Nous ne parlons pas d’une solution qui “nettoierait” un réseau mais plutôt d’une solution qui informe correctement et utilement les responsables des sociétés.”

“Une plate-forme la plus automatisée possible qui produise dynamiquement une information directement exploitable.”

De même, Ozoos entrevoit un modèle de commercialisation impliquant étroitement des partenaires IT ayant les compétences nécessaires pour la mise en oeuvre des solutions identifiées et préconisées.

Analyse automatique

C’est là tout l’objectif du projet de R&D: concevoir tous les mécanismes, algorithmes et “intelligence” nécessaires pour exploiter utilement les myriades d’informations qui concernent les problèmes de sécurité qui envahissent de plus en plus le moindre recoin de notre monde numérique. “Il y a un clair besoin d’une intelligence qui soit à même d’exploiter ce big data, de corréler les incidents qui se produisent. Les volumes de données sont trop importants. Seule l’automatisation peut permettre de minimiser les temps de résolution.”

Il y a aussi et surtout un besoin de rendre cette “intelligence” exploitable par l’utilisateur, le gestionnaire ou l’entrepreneur “moyen”, pas forcément formé à la sécurité. La rendre exploitable “à la fois pour analyser et mesurer le risque en temps réel – un risque qui évolue en permanence – et pour renforcer la sécurité de manière dynamique.”

L’analyse doit par ailleurs “tenir compte de “signaux” tels qu’une recrudescence de la cybercriminalité ou de certains types d’incidents dans un secteur d’activités déterminé. Cela permettra de moduler le niveau de sécurité applicable à chaque “profil” d’entreprise.”

Autres paramètres à prendre en compte: le mode d’utilisation que font les utilisateurs de l’informatique, les contenus et applications Internet, les ressources du réseau interne, le degré de risque des moyens de communications qu’ils utilisent…

Au départ, chaque entreprise sera amenée à définir son “profil”, notamment sur base du secteur dans lequel elle évolue (industrie critique, secteur hospitalier…). Ozoos y associera un profil de sécurité en fonction des normes de référence existant sur le marché (par exemple la norme HIPAA – Health Insurance Portability and Accountability Act – dans le secteur hospitalier). A noter d’ailleurs à cet égard que l’un des objectifs du projet de recherche sera de déterminer si et dans quelle mesure un risque est ou non identique pour tous les secteurs d’activités.

Tanguy Derriks (Ozoos): “Le but de ce projet R&D, sur base des algorithmes à développer notamment, sera de permettre d’anticiper le risque et d’éviter les comportements à haut risque.”

Le profil sera en outre affiné en fonction des éléments que chaque entreprise estime importants pour elles. Et ce profil — ou plutôt le degré de sécurité — pourra être modulé dans le temps en fonction de l’évolution du “comportement” de l’entreprise.

Y a-t-il, par exemple au niveau des PME belges, des spécificités qui imposeraient à la future solution d’Ozoos d’apporter des correctifs par rapport aux normes de référence sectorielles? Pas vraiment estime Tanguy Derriks. Il ajoute toutefois que le degré d’exposition élevé aux risques informatiques qui caractérise les PME locales (en raison, notamment, de leur faiblesses en équipements et en moyens), “nous permettra de collecter des anomalies ou comportements à risque qui viendront enrichir la base de connaissances et contribueront dès lors à rendre la plate-forme plus efficace. A cet égard, on pourrait dire en effet que les PME locales sont des cibles idéales pour enrichir la plate-forme.”

En quête de partenaires

Le projet est porté et co-financé par Ozoos (la Région wallonne, via la DGO6, devrait intervenir à hauteur de 55% – la confirmation devrait tomber sous peu) mais cette jeune société ne s’engage évidemment pas seule dans l’aventure – le sujet est trop vaste et trop complexe pour espérer qu’un petit calimero local parvienne à le prendre à bras-le-corps.

La société s’appuiera sur des technologies existantes (les choix seront faits en cours de projet). Elle travaillera par ailleurs de concert avec des partenaires technologiques “pour l’analyse des flux, anomalies…”

Des partenariats sont également possibles avec des centres de recherche, tant locaux qu’étrangers (notamment en Inde, où Ozoos dispose de contacts privilégiés du fait qu’elle recommercialise les solutions Cyberoam, d’origine indienne). S’y ajoutent encore de premiers contacts établis avec des départements universitaires spécialisés en sécurité et/ou cryptologie. “Nous sommes ouverts à tout type de partenariat. Il existe de nombreuses compétences orientées sécurité en Belgique mais qui, souvent, n’ont pas encore trouvé le moyen d’évoluer vers une exploitation commerciale des résultats de leurs recherche…”

Porté sur les fonts baptismaux en mars de cette année et devant durer deux ans, le projet de R&D en est encore à sa phase préliminaire. Celle de la constitution de l’équipe R&D et de la définition des besoins. “L’équipe devrait compte de 5 à 10 développeurs, chercheurs et mathématiciens. Elle travaillera par ailleurs en liaison étroite avec les partenaires identifiés.”

A nouveaux défis, nouvelles compétences Sécurité

La sécurité – et les menaces – évoluent sans cesse. Toute personne responsable de la sécurité IT d’un réseau, d’une infrastructure, d’une entreprise se doit donc de s’adapter à cette évolution constante, synonyme de défis grandissants.

Le laboratoire Cyber Risk Services de Deloitte vient de publier un document qui résume le contexte auquel les responsables sécurité IT sont confrontés et les qualités et compétences qu’ils devraient désormais afficher.

Lecture bonus réservée à nos abonnés Premium.

“A mesure que les entreprises prennent conscience que les cyber-risques sont intimement liés à leurs stratégies de croissance et d’innovation, leurs attentes en termes de rôle joué par les responsables sécurité [souvent désignés, en anglais, sous l’appellation de CISO – Chief Information Security Officers] change en profondeur. Un CISO “efficace” ne peut plus se contenter de s’appuyer sur sa seule expertise technique. Il doit comprendre comment les décisions et initiatives stratégiques [de l’entreprise] génèrent des risques et, en conséquence, mettre en oeuvre des programmes de sécurité qui fassent pendant au besoin qu’a la société d’améliorer ses performances opérationnelles, tout en tenant compte des réalités et complexités croissantes que sont la protection des consommateurs, de la propriété intellectuelle et de la marque.

[…] L’une des premières choses que l’on attend du “nouveau CISO”, c’est qu’il puisse prendre du recul et voir voir la forêt cachée par les arbres. Qu’il soit en mesure d’expliquer les mesures qu’il prend pour faire en sorte que le programme de sécurité soit une réussite.”

Deloitte prête dès lors quatre visages au “CISO nouvelle génération”:

  • stratège: pilote de l’alignement entre business et stratégie cyber-risque, instigateur de la transformation devant permettre de gérer le risque par le biais d’investissements pondérés
  • conseiller: intimement impliqué dans les activités de la société afin d’“éduquer, conseiller et influencer les activités qui sont associées à des cyber-risques”
  • gardien: protecteur des actifs, via une bonne compréhension des menaces et une gestion de l’efficacité du programme cyber-risque
  • technologue: chargé de l’évaluation et de l’implémentation des technologies et normes en matière de sécurité.

Dans l’état actuel des choses, les deux premières facettes ne monopolisent, en moyenne, que 23% du temps d’un responsable sécurité. Aux yeux de Deloitte, il est urgent d’y affecter davantage de moyens et de ressources-temps. Jusqu’à 65% !