> Sécurité > L’Art de la Guerre appliquée à la SSI

L’Art de la Guerre appliquée à la SSI

Sécurité - Par Arnaud Lorgeron - Publié le 24 juillet 2015
email

Vous avez certainement déjà entendu parler de l’Art de la guerre. Un ouvrage mondialement connu et auquel on trouve des applications dans bien des domaines…

L’Art de la Guerre appliquée à la SSI

 

 

Il s’avère que c’est aussi le parfait support pour proposer une analyse macroscopique de l’art de la cyberguerre, ou comment des assaillants vont attaquer votre système et comment vous allez anticiper et vous défendre (la riposte n’est pas à l’ordre du jour !).

L’ouvrage est fondé sur le principe suivant : gagner ou perdre une guerre ne se fait pas par hasard. De bons principes stratégiques conduisent à la victoire et il est donc important de les étudier tant pour comprendre la situation que pour organiser la défense.

Globalement, le traité chinois auquel il est ici fait référence repose sur deux concepts.

D’abord, « prendre les possessions de l’adversaire en entier », ce qui sous-entend par analogie que le pirate informatique d’aujourd’hui visera potentiellement à faire tomber tout votre système dans son ensemble ou bien à prendre la main comme « root ».

Ensuite, le shi, qui renvoie au concept de l’engagement de forces anodines pour faciliter la victoire. Un déploiement qui repose sur la préparation, le travail, la bonne connaissance de la cible et l’adaptation aux circonstances. La similitude avec les APT saute aux yeux. Ces Advanced Persistent Threats consistent en effet en un ensemble d’actions coordonnées et réfléchies qui conduira à l’objectif final. Un SIEM pourra apporter une bonne partie de la solution.

Ces deux point sont a priori orientés « attaque » mais sont contrebalancés par des principes dont vous pourrez sans nul doute tirer profit.

Les cinq éléments fondamentaux

L’Art de la guerre énonce que l’harmonie entre cinq éléments est une condition préalable au succès d’une campagne. Mesurer, estimer, calculer, comparer et évaluer la probabilité de succès. Tout cela s’accorde parfaitement avec les schémas classiques appliqués un peu partout.

Votre poste vous donne une responsabilité quant à la sécurisation des informations de votre entreprise ? Lisez, imaginez, réfléchissez, extrapolez…

•    Il vous faut d’abord connaître le Tao, qui « fait naître l’unité de pensées ». Si vraiment il fallait tirer un enseignement de ce premier point, il faudrait y voir la nécessité d’une organisation cohérente où chaque personne travaille dans le respect des mêmes règles de sécurité et où aucun équipement ne vient interférer dans la sécurité offerte par un autre.

•    Ensuite, apprenez à connaître « le temps et le ciel », le Yin et le Yang, qui symbolisent le dualisme chinois de l’univers, l’alternance des forces et des faiblesses. En effet, ce qui figurait à l’origine les conditions climatiques nous inspire ici la nécessaire complémentarité des compétences, la complémentarité des fonctions des équipements, la complémentarité des mesures organisationnelles et techniques.

•    « L’espace et la terre » ne sont pas moins dignes d’attention. Bien étudier, c’est « avoir la connaissance du haut et du bas, du loin comme du près, du large et de l’étroit, de ce qui demeure et de ce qui ne fait que passer ». La similitude entre les conditions géographiques originelles et la supervision des événements de sécurité est ici flagrante. Logger tous les événements, les trier et les corréler permettra d’en distinguer les véritables incidents de sécurité et d’agir en conséquence.

•    Parallèlement, la stature du « commandement » impose au dirigeant d’être sage, honnête, bienveillant, courageux et strict. Au-delà de ces qualités somme toute romanesques, on comprend vite que le responsable SSI, typiquement, doit se montrer ouvert, rigoureux et précis dans la quête de ses objectifs.

•    Enfin, n’oubliez pas la « méthode », c’est-à-dire l’organisation et la discipline, qui implique que l’autorité et les zones de responsabilité au sein d’une organisation soient parfaitement comprises et acceptées.

Les quinze grands principes

L’Art de la guerre énonce également des principes qui montrent comment la réflexion peut mener à la victoire, comment l’analyse des faiblesses de l’ennemi peut fonder une tactique.
On peut parfois y trouver une application tant pour l’attaquant que pour l’attaqué. Voici un aperçu des préceptes les plus utiles.

Les deux premiers vous concernent plus particulièrement :

•    « Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais être en péril. Qui ne connaît pas l’autre mais se connaît lui-même, pour chaque victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même, perdra inéluctablement toutes les batailles. » Le stratège connaît l’environnement, l’autre ainsi que lui-même. Alors, vous qui êtes RSSI ou qui en endossez certaines responsabilités, devenez stratège, faites en sorte de connaître d’une part votre patrimoine et les moyens dont vous disposez pour le protéger, et d’autre part les menaces auxquelles vous pourriez être confrontés. Bref, commencez par (faire) mener une analyse de sécurité, c’est le B.A.BA.

•    « Jadis, les guerriers habiles commençaient par se rendre invincibles, puis attendaient le moment où l’ennemi serait vulnérable. L’invincibilité réside en soi-même. La vulnérabilité réside en l’ennemi. » Inversons les rôles dans une approche LID (Lutte informatique défensive) et considérons ici le « hacker » comme invincible puisque inattaquable. Pour agir, ce dernier va attendre le moment idéal, où vous serez le plus vulnérable. Veillez donc à ne pas baisser la garde en période de congés, lors d’une opération de maintenance, etc.

Mais d’autres peuvent facilement trouver un sens pour les deux parties.

•    « Le bon stratège est si subtil qu’il n’a plus de forme visible. Le bon stratège est si discret qu’il en est inaudible. Ainsi il se rend maître du destin de l’ennemi. » Cette fois, la leçon est effectivement double : se montrer insaisissable et retenir le plus d’informations est sans doute un des objectifs de l’attaquant alors que donner des informations inexploitables peut aussi être une ruse de l’entreprise cible (honeypot par exemple) si cela n’est pas fait, encore une fois, par un attaquant (souhaitant compromettre l’intégrité de vos données).

•    « Pour avancer irrésistiblement, attaquez les points faibles de l’ennemi. Pour battre en retraite sans être rattrapé, soyez plus rapide que votre ennemi. » Attaquez les points non gardés ou de moindre résistance sera certainement la stratégie de l’attaquant. Toutefois, s’il saura aussi se mettre hors de portée durant sa retraite, veillez à être le premier à le faire par une stratégie de cloisonnement/confinement.

•    « Ne répétez pas les mêmes tactiques victorieuses, mais adaptez-vous aux circonstances chaque fois particulières. » La stratégie systémique demande une adaptation des tactiques grâce à la connaissance des circonstances d’une situation. L’attaquant expérimenté variera donc les techniques et les angles d’attaque et cela ne peut que vous inciter à varier les moyens de protections (voyez aussi le principe de défense en profondeur).

•    « Celui qui est capable de remporter la victoire en s’adaptant à la situation de l’ennemi est qualifié de génie. » De même que précédemment, la victoire provient de l’adaptation aux circonstances, aux différents aspects qui se présentent.

Vous l’avez compris, le fameux « connais-toi toi-même, connais ton ennemi, ta victoire ne sera jamais mise en danger ; connais le terrain, connais ton temps, ta victoire sera alors totale » ne saurait résumer les multiples règles à respecter.

Conclusion

Nous pourrions longtemps continuer d’exploiter les conseils avisés hérités de l’histoire chinoise. Intemporels, ils n’en demeurent pas moins des plus utiles. Malheureusement, chacun sait que s’ils sont souvent simples, voire évidents, il nous faut toutefois réussir à les mettre en application de façon pragmatique tout en jonglant avec de nombreuses contraintes (financières, techniques, humaines, etc.).

Sans oublier les principes déjà abordés, nous pouvons en outre ajouter qu’être prudent est une qualité évidente devant s’accompagner d’une grande préparation.

De plus, par la suite, combattre efficacement et rapidement, c’est-à-dire ne pas prolonger inutilement la lutte contre une attaque (mieux vaut couper la connexion ou éteindre le système), pourra minimiser les conséquences d’un incident de sécurité.

Enfin, être flexible, avoir la capacité de s’adapter ou de changer ses plans en fonction de nouveaux critères, pourra vous aider tant en prévention qu’en réaction.

Quoi qu’il en soit, garder à l’esprit que les alternatives sont multiples. Ne baissez pas les bras et tirez avantages de vos moyens à l’instant t avant d’optimiser vos choix dans le futur. « Trop ne sont pas mieux » : ne visez pas la complexité mais l’efficacité !

 

Téléchargez gratuitement cette ressource

Nouveau Baromètre Cybersécurité 2020

Nouveau Baromètre Cybersécurité 2020

À l’occasion de la parution du 1er baromètre de la cybersécurité Stormshield/L’Usine Digitale, nous vous proposions une réflexion sur la sécurité dans le cadre de la transformation numérique des entreprises. Découvrez, en exclusivité dans ce second opus, comment les entreprises abordent-elles leurs projets numériques en 2020.

Sécurité - Par Arnaud Lorgeron - Publié le 24 juillet 2015