Cybersécurité : que faut-il retenir du FIC 2022 ?

Il faut avant tout souligner que le FIC regroupe plusieurs événements associés dont :

• L’EC2, l’European Cyber Cup, une compétition sous forme de CTF (Capture The Flag) de hacking éthique. Cet événement a pour objectif de rassembler le monde du hacking et du e-sport afin de mettre en valeur les compétences, enjeux et métiers de la cybersécurité tout en développant son aspect ludique et compétitif.
• Le CFI, Cybersecurity For Industry, un événement dédié aux problématiques de cybersécurité du monde industriel. Durant le FIC, différentes solutions de cybersécurité pour l’industrie ont ainsi été présentées.

• ID & KYC Forum, l’Identity Digital Trust est un forum abordant plusieurs problématiques, dont certaines liées à l’amélioration des services numériques apportés aux utilisateurs ainsi qu’à la liberté de choix au sein des écosystèmes numériques.

L'implémentation de l'IA sur les aspects de sécurité offensive et défensive

Les algorithmes d'apprentissage automatique continuent de s’intégrer au paysage cyber. Ces derniers s'entraînent sur des jeux de données réels ou simulés pour pouvoir prendre des décisions optimales dans une situation inconnue. Une fois les données assimilées, l'algorithme d’intelligence artificielle devient particulièrement performant lorsqu'il s'agit de prendre une décision basée sur de nombreux paramètres ayant une corrélation complexe. En effet, dans le cadre d'un problème similaire inconnu du système intelligent, celui-ci tentera d'apporter la solution la plus efficace. 

Lors du FIC 2022, la tendance s’est confirmée : de nombreux intervenants ont promu des solutions à base de deep learning, tant sur l'aspect défensif qu'offensif. De même, certains éditeurs proposent par exemple des IPS dont les décisions sont dirigées par des modèles de réseaux de neurones. Pour cela, un algorithme est d’abord entraîné sur le trafic habituel de l'entreprise. Il devient ensuite capable de détecter un comportement s'écartant du modèle habituel. Les points de contrôle de l'algorithme peuvent aller du trafic réseau aux échanges de mails. En somme les algorithmes de deep learning permettent l'apprentissage d'un modèle statistique sur mesure pour chaque réseau.

Toutefois, il a été souligné à de nombreuses reprises que ces solutions doivent être utilisées en complément de règles de détection statique afin d'assurer une couverture efficiente. C’est dans une même logique que, sous l'onglet cybersécurité offensive, des programmes basés sur l’apprentissage par renforcement permettent, entre autres, d'automatiser l'exploitation de machines en optimisant le chemin de compromission. En effet, l'algorithme s'entraîne sur des simulations et devient ensuite capable de s'attaquer à des réseaux bien réels, notamment en priorisant ses actions selon l'intérêt de la cible et le risque de se faire détecter.

La souveraineté des données dans le Cloud

Les problématiques liées au Cloud et à la souveraineté des données continuent de faire débat – notamment les données stockées ou en transit chez des fournisseurs tiers, toujours matière à discussion. Malgré tout, les avantages en termes de coût et de qualité de service font que le Cloud, même hors Union européenne, reste une solution souvent préférée.

Aujourd’hui, l’enjeu est de parvenir à monter des projets au niveau européen permettant à la fois aux entreprises de profiter des dernières technologies Cloud sans pour autant faire de compromis sur le contrôle des données. Quant aux entreprises se dirigeant vers des solutions non européennes, la priorité doit être donnée à la protection des données, qui, par ailleurs, peut se faire en plusieurs étapes :

• Identification des flux de données : quelles données sont transférées à quels destinataires ?
• Segmentation des données par leur criticité et répartition raisonnée des différents flux.
• Application de chiffrement de bout-en-bout comme politique par défaut, dans la mesure du possible.

Concernant les données à caractère personnel, les indications de la CNIL fournissent une matrice permettant de réduire significativement la surface d'attaque en appliquant entre autres les principes de minimisation des données.

Une transition peut par ailleurs être l'occasion d'appliquer le principe « zero trust » consistant à durcir le contrôle d'accès aux ressources de l'entreprise. Une fois le schéma des flux de données de l'entreprise construit, il devient plus aisé d'appliquer des principes de moindres privilèges sur les différentes ressources. Il convient cependant de rester vigilant quant à la multiplication des solutions logicielles au sein du SI, qui augmenterait la surface d'attaque.