S’inspirer de l’épidémiologie pour lutter contre les cybermenaces

Le monde con­tem­po­rain s’est con­stru­it autour du numérique qui est désor­mais au cœur de l’activité des entre­pris­es, des asso­ci­a­tions et de l’État. Par­al­lèle­ment, cette nou­velle con­fig­u­ra­tion a engen­dré la pro­liféra­tion d’acteurs malveil­lants. En tirant par­ti de cette nou­velle oppor­tu­nité, ils ten­tent d’atteindre des buts poli­tiques, financiers ou même mafieux. L’un des enjeux les plus prég­nants devient la mise en place de straté­gies de sécu­rité infor­ma­tique per­me­t­tant de se pro­téger de ces cybermenaces.

La réac­tion naturelle face à une men­ace est sou­vent de fuir ou d’essayer de se pro­téger. Il s’agit d’un mécan­isme naturel qui vise à écarter une men­ace qui vient d’être détec­tée. Cette réac­tion per­met aux êtres vivants de sur­vivre face à leurs pré­da­teurs et à se pro­téger de leurs enne­mis. Pour autant, une stratégie plus per­ti­nente dans la nature, comme pour tout sys­tème numérique, est plutôt d’anticiper les men­aces afin de ne pas s’y expos­er¹.

Dans le domaine de la cyber­sécu­rité, il est donc pré­con­isé d’identifier les risques poten­tiels dans le cadre d’une démarche de pro­tec­tion. C’est ce que per­met la démarche d’analyse des risques EBIOS², pré­con­isée par l’ANSSI. D’autre part, il faut s’appuyer sur des mécan­ismes de détec­tion en temps réel tels que les mécan­ismes de « Dynam­ic Fore­cast­ing »³.

Durant ces recherch­es⁴, les chercheurs se sont inspirés des mécan­ismes épidémi­ologiques afin d’identifier les virus infor­ma­tiques. Cette idée est très sim­i­laire au fait de con­fon­dre un crim­inel avec ses empreintes dig­i­tales ou son ADN : le cyber­crim­inel laisse, lui aus­si, des empreintes numériques.En effet, les virus infor­ma­tiques dis­posent d’une sig­na­ture-type qui per­met de les iden­ti­fi­er (exem­ples : MyDoom.A, Psyb0t, Tch­er­nobyl, Con­fick­er, Cryp­tolock­er…). C’est d’ailleurs très sou­vent le mécan­isme qu’utilisent les antivirus pour les détecter. Par exem­ple, depuis août 2016, un mal­ware nom­mé Mirai et spé­cial­isé sur les objets con­nec­tés évolue pour infecter des sys­tèmes infor­ma­tiques. Ce com­porte­ment pour­rait faire penser à celui d’un virus comme la COVID-19. 

Par ailleurs, notre objec­tif dépasse la sim­ple iden­ti­fi­ca­tion d’un virus. Nous souhaitons déter­min­er ses mécan­ismes de prop­a­ga­tion pour mieux pro­téger les sys­tèmes d’information inter­con­nec­tés. Les sys­tèmes d’information de l’État peu­vent être par­ti­c­ulière­ment soumis à des inter­ac­tions avec les usagers, avec des parte­naires économiques ain­si qu’avec d’autres admin­is­tra­tions. Dès lors, un virus peut non seule­ment provenir d’une attaque, mais égale­ment d’une prop­a­ga­tion provenant d’un parte­naire infecté.

Le mod­èle SEIR (Sen­si­ble, Exposé, Infec­té et Rétabli) est un out­il épidémi­ologique bien établi. Il est util­isé dans la lutte con­tre les pandémies⁵, mais égale­ment dans le domaine de la cyber­sécu­rité⁶.

Adap­té à notre con­texte, ce mod­èle per­met de caté­goris­er les matériels infor­ma­tiques dans dif­férents stades vis-à-vis de la con­t­a­m­i­na­tion par le virus étudié. Ain­si, un matériel est con­sid­éré « sen­si­ble » s’il est vul­nérable aux attaques, « exposé » s’il a été en con­tact avec le virus, « infec­té » s’il a été com­pro­mis et « rétabli » s’il a été infec­té et a fait l’objet de mesure de remise en état lui con­férant une immu­nité con­tre ce virus.

Ce mod­èle est égale­ment maîtrisé par les épidémi­ol­o­gistes depuis longtemps⁷. Dans le con­texte des envi­ron­nements numériques, il cor­re­spond à la sit­u­a­tion ou un écosys­tème atteint un niveau de pro­tec­tion suff­isant lorsqu’il a été suff­isam­ment exposé et pro­tégé par des con­tre-mesures. Il acquiert alors une forme d’im­mu­nité qui con­tre­carre les cyber­at­taques reposant sur le virus considéré.

Au cours de nos recherch­es, nous avons iden­ti­fié des lim­ites des approches ini­tiales du mod­èle SEIR. Tout en offrant un cadre pré­cieux, il ne tient pas compte des com­plex­ités telles que la vari­a­tion des vul­néra­bil­ités des sys­tèmes ou l’évolution des types d’at­taques. Par ailleurs, le mod­èle d’immunité col­lec­tive est con­ceptuelle­ment puis­sant, mais il manque d’une méth­ode con­crète pour par­venir à cette immu­nité. Et cela présente des risques en cas d’infection mas­sive du système.

Ain­si, nous avons pro­posé un mod­èle SEIR mul­ti-niveau avec opti­mi­sa­tion des ressources. Ce mod­èle raf­finé intè­gre deux aspects clés :

• Mul­ti-niveau : il tient compte des dif­férents niveaux de matu­rité et de pro­tec­tion de la sécu­rité entre les dif­férentes par­ties prenantes, telles que les gou­verne­ments, les entre­pris­es privées et les util­isa­teurs individuels.
• Men­aces dif­féren­ciées : il dif­féren­cie les cyber­me­n­aces en fonc­tion de leur prob­a­bil­ité et de leur impact potentiel.

Le mod­èle utilise des paramètres tels que le taux de trans­mis­sion, la péri­ode de latence et le taux de récupéra­tion pour décrire la prop­a­ga­tion des cyber­at­taques à tra­vers dif­férents sys­tèmes. Il souligne l’im­por­tance de for­ti­fi­er la cyber­sécu­rité dans l’ensem­ble de l’é­cosys­tème, car le mail­lon le plus faible représente le plus grand risque.

Enfin, un avan­tage sig­ni­fi­catif de l’utilisation de ce type de mod­èle, provient de la capac­ité à prédire, au moins à court terme, le com­porte­ment du virus. D’une part, des seuils peu­vent être déter­minés et d’autre part, la réso­lu­tion d’équations dif­féren­tielles per­me­t­tent de prévoir le com­porte­ment et de déclencher des alertes ou des répons­es automa­tisés via des mécan­ismes EDR (End­point Detec­tion and Response).

Un aspect fon­da­men­tal de cette nou­velle propo­si­tion con­siste à met­tre l’accent sur l’op­ti­mi­sa­tion des ressources dans un con­texte de moyens financiers lim­ités. Ce mod­èle tient compte des bud­gets lim­ités alloués à la cyber­sécu­rité et con­cen­tre les efforts sur les risques majeurs. Cette approche per­met de met­tre en place une stratégie spé­ci­fique à chaque sys­tème, en se con­cen­trant sur la dimen­sion qui réduira le plus pos­si­ble l’in­fec­tion glob­ale. L’op­ti­mi­sa­tion con­vexe, une méth­ode math­é­ma­tique très répan­due⁸ est recom­mandée pour résoudre ce prob­lème d’al­lo­ca­tion des ressources.

Les propo­si­tions for­mulées sem­blent promet­teuses pour amélior­er la sécu­rité des sys­tèmes infor­ma­tiques, en par­ti­c­uli­er au sein de l’administration. Elles s’inspirent des méth­odes épidémi­ol­o­gistes très adap­tées au suivi et à la lutte con­tre la prop­a­ga­tion des virus. Des travaux sont actuelle­ment envis­agés pour con­fron­ter ses propo­si­tions à la réal­ité, les implé­menter dans des sys­tèmes opéra­tionnels et con­tin­uer à accroître la cyber­sécu­rité des sys­tèmes critiques.

Clause de non-respon­s­abil­ité : Le con­tenu de cet arti­cle n’engage que ses auteurs et n’a pas de portée autre que celle de l’information et de la recherche académique.