Remédiation 2018-02-07T15:19:11+00:00

Accueil » Recherche » Remédiation

REMÉDIATION

Faire face à la complexité et à la multiplicité des attaques informatiques

Ces dernières années, les stratégies d’attaque informatique se sont perfectionnées. Finie l’attaque unique et isolée. Place aux événements multiples et coordonnés. Un nouveau type de menace qui peut néanmoins être circonscrit avec la mise en place d’un système de supervision de la sécurité adapté et réactif pour les entreprises. Un préalable à toute politique de cyber défense.

En matière de protection et de sécurité des systèmes d’information, bien souvent, tout est affaire de capacité de prise de décision pour les entreprises. Et, surtout, de délais de réponse. A condition néanmoins, d’identifier, de diagnostiquer (analyse de données) et de caractériser précisément en amont la nature du risque, les impacts éventuels associés et la capacité de nuisance de l’attaque. (Pour en savoir plus : Lire thème Métriques). Afin de faciliter la mise en œuvre de réponse adaptée, de façon agile et réactive, il existe aujourd’hui sur le marché, différents outils ou logiciels de SIEM (Security Information and Event Management). Ces derniers permettent en effet, non seulement la détection des menaces de manière la plus systématique et la plus instantanée possible, mais également de paramétrer et d’automatiser des routines de défense adaptées à la typologie de l’attaque déployée. La difficulté intervient alors pour les systèmes complexes qui font apparaître des situations conflictuelles. En clair, lors d’une attaque ou d’un « événement de sécurité », les réponses des sous-systèmes peuvent rentrer en conflit. Il convient alors d’analyser différentes hypothèses ou options pour remédier à ces conflits. Seule solution donc pour les responsables sécurité : anticiper les conflits en définissant une méthodologie ad hoc de gestion de crise qui permette non seulement de circonscrire l’attaque, mais aussi de gérer le conflit, de préserver l’intégrité du réseau, voir d’assurer une continuité de service au moins partielle.

Faire face et réagir efficacement à des attaques de plus en plus sophistiquées

Depuis sa création, la chaire de cybersécurité de l’Institut Mines-Télécom s’est fait une spécialité dans la définition et la mise en pratique de solutions de remédiation suite à des incidents de sécurité notamment pour les entreprises. Ses deux axes principaux de recherche concernent le passage d’un traitement séquentiel et centralisé à un traitement parallèle et distribué ; et l’activation de réactions efficaces (après l’analyse de données) et paramétrées afin de faire face aux intrusions et tout en maintenant le système en condition de sécurité. L’équipe de chercheurs de la Chaire Cyber CNI s’intéresse tout particulièrement aux différentes techniques permettant de mettre à jour, de manière dynamique, les politiques de sécurité informatique des organisations et des entreprises. Dans le détail, il s’agit ni plus moins que de développer une « intelligence sécuritaire » capable d’analyser les données en temps réel et de s’adapter à l’évolution et aux changements environnementaux. Au besoin en activant ou en désactivant des modes dégradés. Les travaux de l’équipe concernent l’expression, la formalisation et le développement des moyens techniques pour la mise en œuvre des solutions proposées. L’ensemble des travaux de l’équipe de recherche Cyber CNI en matière de remédiation et d’optimisation des stratégies de cyber défense est, à l’instar des travaux conduits sur les thèmes analytiques et métriques , validé expérimentalement via des études de cas client. Les entreprises évoluant dans l’environnement des infrastructures critiques sont, en effet, des cibles privilégiées pour des événements de sécurité multiples et coordonnés.