Rechercher

La cyberdéfense dans le futur : la deception security

La deception security deviendra-t-elle un “must-have” de la cyberdéfense ? Loin des préceptes et stratégies traditionnelles, réponse de nos experts.

Qu’est-ce que la deception security ?

La deception security (aussi appelée deceptive security) peut être considérée comme une stratégie de défense qui vise à placer des leurres numériques au sein d’infrastructures réseau à protéger. La deception security est la nouvelle génération du honeypot, parue dans les années 90. Elle est destinée à détecter, ralentir, piéger, dévier et empêcher un intrus d’accéder au système d’information d’une entité. Elle vise essentiellement à réduire le temps de détection d’une attaque, à comprendre le mode opératoire de l’attaquant et potentiellement à démotiver certains d’entre eux.

Concrètement, à quoi ressemble un mécanisme de deception security ?

En général, la deception security consiste en un système d’information comprenant de vrais et de faux actifs associés à des données et des accès fictifs. Ceux-ci sont communément appelés “breadcrumbs”, qui veut dire “miettes de pain” en français. Ils peuvent représenter de faux identifiants qui mènent à un leurre, des documents d’apparence sensibles, un historique de navigation, par exemple. La deception security peut aussi prendre l’apparence d’un sous-réseau semblant appartenir au réseau principal, sauf qu’en réalité́, il est isolé et étroitement surveillé.

Quelle différence avec un honeypot ?

Les honeypots classiques sont utilisés à des fins de quantification et de qualification des menaces générales venant d’Internet. Ils permettent de répondre aux questions suivantes : quelles sont les failles les plus communément exploitées ou testées par les attaquants ? De quels outils disposent-ils pour parvenir à leurs fins ? La deception security, quant à elle, crée l’illusion d’un environnement de production sur mesure avec les véritables caractéristiques de ce dernier, soit la création d’un environnement personnalisé. De l’activité utilisateur est également générée pour que les faux actifs ou les faux réseaux soient crédibles et cohérents. Cela offre la possibilité d’identifier des attaques ciblées, menées sur un système d’information en particulier.

Quels sont les avantages de la deception security ?

 Les technologies de deception permettent de cloisonner l’attaquant dans une boucle où il n’atteindra que des données fictives : il accèdera seulement aux données que l’entreprise souhaite qu’il voit. Le potentiel de faire perdre du temps aux attaquants est réel voire même de découvrir plus en amont leurs outils et objectifs. La deception security permet notamment de détecter des attaques inconnues, les dites « 0-day », de comprendre leur exploitation et de mettre en lumière des tentatives de malveillances internes. Ceci permet par la suite d’anticiper et de scénariser le futur en réfléchissant plus clairement aux mesures de sécurité à prioriser et à prendre en compte sur le vrai SI. Aussi, les outils de deception security ne génèrent pas ou rarement de faux positifs. Si l’attaquant entre dans le réseau ou le SI de deception, ce qu’on appelle communément l’environnement de deception, c’est que l’alerte est réelle. Celle-ci est d’une qualité et d’une pertinence reconnues : dès lors qu’on interagit avec les artefacts de la deception security, toute la lumière est mise sur les mouvements de l’attaquant et toutes ses actions sont remontées avec précision. La deception security offre également la possibilité de couvrir des périmètres généralement difficiles à protéger : des leurres de différents types et différentes architectures peuvent être déployés sur de nombreux environnements (IoT, systèmes industriels, etc..), et donc apporter une nouvelle protection à ces ressources bien souvent non-couvertes par les dispositifs de détection d’intrusion classiques.

A quels types de clients cette technologie s’adresse-t-elle ?

 Cette technologie s’adresse à tout type de client. Tout dépend de leur objectif et de leur maturité sur les enjeux cyber. Par exemple, pour implémenter une stratégie de deception security, il faut définir le niveau d’engagement de l’attaquant (jusqu’où il peut aller). Cela va dépendre des outils internes et données de l’entreprise : dispose-t-elle d’un SOC, combien d’opérateurs peuvent traiter les alertes ? Présenter un leurre numérique ne suffit pas. Il faut maîtriser son environnement. Cela implique de réaliser une analyse de risques avant toute implémentation et personnalisation. Aussi, si une entreprise n’est pas prête à laisser l’attaquant faire pour étudier son comportement – cela peut tout simplement ne pas être son objectif – elle peut simplement se servir de la deception security comme d’un dispositif de détection.

Y-a-t-il des prérequis pour en bénéficier ?

 Une bonne connaissance de ses propres faiblesses et des vecteurs d’attaques est un excellent démarrage pour la création d’une stratégie pertinente et pour la définition du bon endroit servant à accueillir l’environnement de deception security. Toutes infrastructures peuvent trouver avantage à déployer des stratégies et outils de deception security. Une PME pour exemple pourra compléter sa sécurité afin d’être informée d’une manière moins traditionnelle et parfois plus rapide des intrusions sur son réseau ou son SI. Un grand groupe pourra personnaliser ses stratégies et attirails à son secteur d’activités, ses typologies d’attaques et ses cibles prioritaires afin de bénéficier d’une couverture sur mesure.

L’attaquant risque-t-il de sortir du leurre ?

Toutes technologies peuvent par définition être trafiquées par les cybercriminels pour permettre des intrusions. L’avantage de la deception security dans ce contexte est que le cybercriminel compromet avant tout des données fictives. Une fois l’alerte donnée, les experts de cybersécurité savent exactement où il se trouve et quel chemin il peut emprunter ou non, et donc, mieux le contrer.

Quelles sont aujourd’hui les limites de la deception security ?

 Aujourd’hui, la deception security ne peut pas être déployée partout pour des raisons d’optimisation et de coûts. Une expertise est nécessaire pour déterminer les meilleures options de déploiement des artefacts (leurres, appâts et breadcrumbs), selon ce que l’entreprise souhaite protéger. Ensuite, elle n’est pas complètement autonome. Si l’on opte pour le maintien d’une stratégie durable, une expertise est alors requise. En outre, pour que les leurres restent crédibles, il faut que le système soit régulièrement mis à jour. Dans le futur, notre challenge sera justement de réduire ces limites.

Comment voyez-vous cette technologie (et ces usages) évoluer dans un futur proche ?

Dans le futur, l’intervention humaine sera de plus en plus réduite. Le système pourrait intégrer une marge d’autonomie grâce aux technologies d’intelligence artificielle et particulièrement d’apprentissage profond (deep learning) permettant d’apprendre de l’environnement réel et des menaces actuelles (par exemple, celles visant un secteur bien précis), moyennant notamment des outils de Threat Intelligence. La technologie pourra ainsi créer d’une manière autonome leurres, appâts et miettes de pain nécessaires à la réalisation d’une stratégie personnalisée à l’instant T. Aussi, le niveau d’engagement de l’attaquant sera bien plus avancé grâce à des simulations de réponses automatiques plus pertinentes, permettant une analyse encore plus approfondie. Concernant la maintenance, la démocratisation des solutions de virtualisation rend moins coûteuse l’utilisation des solutions de deception security (fausses machines virtuelles déployées, détruites et restaurées facilement à l’état initial, ressources numériques attribuées plus finement pour maîtriser encore plus les capacités des attaquants). Nous pouvons espérer de belles avancées dans les prochaines années.

La deception security fera-t-elle partie de l’attirail indispensable de cyberdéfense ?

 Elle n’est pas loin de le devenir, au moins pour certains secteurs. La deception security a été déjà soutenue par un ensemble de directives internationales issues du NIST (National Institute of Standards and Technology) et l’OTAN (Organisation du traité de l’Atlantique nord). Ces directives industrielles recommandent fortement l’utilisation de la deception security comme stratégie proactive pour améliorer la cyber-résilience. Il est possible qu’elle devienne un standard pour certaines infrastructures. La deception security a l’avantage de pouvoir fonctionner en circuit fermé. Elle répond donc à de nombreuses exigences de souveraineté et de maîtrise profonde des composants inclus. Il est important de préciser que la deception security n’a pas vocation à remplacer les systèmes de sécurité existants. Elle sera (et est déjà), une stratégie différenciatrice pour contrer les cybercriminels.

Merci à Wiem Tounsi, consultante et chercheuse, ainsi que les experts du Laboratoire d’épidémiologie d’Orange Cyberdefense d’avoir partagé leur expertise sur ce sujet.