Visualisation et Analyse de Risque Dynamique pour la Cyber-DéfensePhilippe Lagadec

Cet article présente deux projets de recherche et développement de l’agence NC3A de l’OTAN dans le domaine de la cyber-défense, CIAP (Consolidated Information Assurance Picture) et DRA (Dynamic Risk Assessment). La cyber-défense est aujourd’hui principalement basée sur les outils suivants : systèmes de détection d’intrusion (IDS), scanners de vulnérabilités, antivirus ainsi que systèmes de gestion et corrélation d’événements sécurité (SIEM). Lorsqu’il s’agit de superviser un système informatique à grande échelle réparti sur plusieurs sites, il devient vite très difficile de corréler et analyser toutes les sources d’information disponibles en temps réel afin de détecter les anomalies et les incidents suffisamment vite pour réagir efficacement. Cette complexité est due à la quantité d’information générée, au manque d’interopérabilité entre les outils ainsi qu’à leurs lacunes en matière de visualisation.

Le projet CIAP vise à pallier ce manque en étudiant comment toute l’information nécessaire à la cyber-défense peut être consolidée dans un système complet, reposant sur un modèle de donnée commun s’appuyant sur des standards et sur un système de stockage distribué. CIAP fournit également diverses visualisations complémentaires de toutes les données collectées, notamment des vues d’ensemble de la topologie réseau et des vues géographiques.

Un autre problème majeur en cyber-défense est que la tâche de comprendre l’impact réel d’une vulnérabilité ou d’une alerte IDS est généralement dévolue à un analyste humain, qui doit lui- même faire le lien entre toutes les informations techniques et sa connaissance de tous les services ou processus qui dépendent des machines concernées. Le projet DRA est une étude complémentaire de CIAP qui vise à fournir une analyse de risque en temps réel, afin de déterminer automatiquement l’impact réel dû à la situation sécurité globale du système et du réseau. Pour cela une nouvelle méthodologie innovante a été développée en combinant un générateur automatique d’arbres d’attaque (attack trees/graphs) et un moteur d’analyse de risque « traditionnel » similaire à EBIOS.