20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 Sécurité : comment gérer les surprises ? Security: how to cope with surprises? J ean Caire Sylvain Conchon RATP CONIX 40 rue Roger Salengro 2 rue Maurice Hartmann 94724 Fontenay sous Bois 92130 Issy-les-Moulineaux j [email protected] [email protected] 06 72 33 58 69 06 72 80 88 00 Résumé Dans le monde actuel en perpétuelle évolution, il n’est plus possible d’éviter les surprises. Cet état de fait a une incidence très importante sur l e concept même de sécurité qui doit évoluer du principe d’évitement des menaces vers l’idée de « l’absence de surprise insurmontable ». Les l imites intrinsèques de la connaissance et les nombreuses faiblesses du renseignement rendent nécessaire une nouvelle stratégie qui combine la connaissance de la situation avec la capacité d’adaptation aux effets de surprise. Notre communication présente un ensemble de modèles d estinés à développer les voies et moyens d’une telle stratégie. Summary I n today’s fast-paced world, surprises are inevitable. This has serious implications for the concept of security which must evolve from the a im of avoiding threat altogether towards a new one: the absence of unmitigatable surprises. The intrinsic limitations of knowledge and the m any weaknesses of intelligence process call for a new strategic framework uniting situational awareness with adaptation to surprise effects. Our communication presents a set of model to establish the ways and means of such a strategy. Objectifs L e but de ce travail est de développer un concept de sécurité, au sens de traitement des actes de malveillance, qui prenne explicitement en c ompte les surprises. Contexte Dans un « monde en mouvement », le concept de sécurité est appelé à évoluer car sa définition première – absence de danger – n’est plus réalisable. Des études déjà anciennes ont conclu sur l’impossibilité d’anticiper toutes les agressions afin de les prévenir, ce qui a poussé certains auteurs à redéfinir la sécurité comme « l’absence de surprises qu’on ne peut atténuer » [1]. Si cette définition a initialement été proposée pour repenser la sécurité du cyberespace, milieu évolutif et dynamique par excellence, elle se généralise très naturellement à tous les autres milieux. Les entreprises doivent aujourd’hui faire face à une multiplicité d’adversaires, disposant d’une grande diversité de moyens et modes d’action, pour une large variété d’effets qui vont de l’espionnage économique au sabotage industriel en passant par les manœuvres de déstabilisation. En particulier, les grands opérateurs des secteurs d’activité d’importance vitale (SAIV) peuvent être confrontés à des menaces d’origine étatique, aux ressources considérables. Dans ce contexte, marqué tout à la fois par la complexité croissante des situations et l’innovation permanente des acteurs – à commencer par ceux animés par de mauvaises intentions – il est fondamental de disposer d’une doctrine de défense capable de prendre en compte la pluralité des confrontations et d’y répondre efficacement avec un effort maîtrisé, notamment sur le plan économique. Notre proposition vise à développer un concept de sécurité fondé sur l’idée de surprise et sur les voies et moyens permettant d’abord de la réduire, ensuite de la surmonter. C ommunication 5F /2 page 1/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 1 Démarche 1.1 Ebauche d’une théorie de la surprise L a surprise est un phénomène complexe : pour une victime, elle peut traduire plusieurs états, d’une part, le fait d’être pris au dépourvu, parce que ses hypothèses ou attentes sont fausses, d’autre part, une déstabilisation qui peut entraîner des réponses inadéquates. On note par ailleurs qu’on peut non seulement être surpris par un événement totalement inattendu, mais aussi par la non réalisation d’un événement attendu (lien a vec la notion de déception qui est développée par ailleurs). Ces observations permettent de dégager une ébauche de typologie de la s urprise (voir Figure 1). Figure 1 : ébauche d’une typologie de la surprise Par ailleurs, on remarque que si la surprise peut revêtir de nombreuses formes, elle n’en possède pas moins des caractéristiques fondamentales dont l’analyse fournit les grands axes d’une taxonomie des surprises [2], [3], [4] : • La nature de la surprise, qui peut se manifester dans toutes les dimensions d’une agression : l’acteur et ses intentions, le moment, l’emplacement, le mode d’action ou les conséquences. • Le degré de la surprise, qui traduit l’état d’esprit de celui qui en est victime (dimension cognitive qui induit la réaction, et qui dépend fortement de ses efforts d’anticipation et de préparation). 1.2 Principes stratégiques L a surprise étant étroitement liée à un manque d’anticipation, c’est-à-dire des lacunes des connaissances préalables, une stratégie de réponse v a chercher en premier lieu à acquérir des connaissances plus étendues et plus sûres, c'est-à-dire développer un meilleur renseignement. Il est alors essentiel de mesurer les limites de cette approche, que l’on peut appréhender par le paradigme du connu / inconnu (voir Figure 2), énoncé par Augustine puis popularisé par l’ancien Secrétaire d’Etat américain à la Défense Donald Rumsfeld [5], [6] : « Il y a des choses connues que nous connaissons : ce sont les choses dont nous savons que nous les savons. Il y a des inconnues / connues ; c’est-à-dire des choses dont nous savons que nous les ignorons. Mais il y a aussi des inconnues / inconnues : ce sont les choses dont nous ne savons même pas que nous les ignorons ». 1 2 Figure 2 : paradigme du connu / inconnu12 1 Une faille « 0day » est une faille de sécurité qui n’a pas été détectée par l’éditeur et pour laquelle il n’existe pas de correctif ; elle n’est généralement connue que d’un nombre restreint de personnes. 2 Stuxnet est un ver informatique qui aurait été conçu par la NSA (National Security Agency) pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium. Il est particulièrement complexe (fait appel à 3 failles « 0day ») et ciblé pour agir sur des systèmes spécifiques. C ommunication 5F /2 page 2/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 Le renseignement est la réponse à une question précise ; de fait le carré en bas à droite représente la zone où la question initiale n’est même pas formulée. Concrètement, la mise en œuvre du renseignement réduit les surfaces inconnues de la Figure 2 . Si cette réduction est n aturellement limitée par l’effort consenti, elle est surtout bornée par des incertitudes irréductibles : c’est le sens profond du paradigme connu / inconnu. Puisqu’il est nécessaire mais insuffisant, le renseignement doit être complété par un second volet stratégique : l’adaptation. Ces deux fonctions ne sont pas seulement complémentaires, elles sont étroitement liées car la réponse à une surprise initiale est d’autant plus efficace q u’elle se déploie sur un champ circonscrit ; en outre, les actions effectuées et les décisions qui les précèdent dépendent de la qualité et de la rapidité d’analyse de situation, lesquelles reposent sur les représentations, même incomplètes, fournies par le renseignement. L e lien entre les deux volets se fait par la prise de décision que l’on peut représenter par un cycle OODA (voir Figure 3), un modèle-type initialement proposé par le colonel Boyd [7] dans le champ militaire, qui a ensuite été étendu à d’autres domaines, notamment la concurrence é conomique. Il faut souligner que ce cycle a été fondamentalement pensé par Boyd pour appréhender le processus d’adaptation. Figure 3 : processus de décision OODA En synthèse, la surprise se traduit dans ce modèle par une « D » (Décision) inadaptée suivi d’une « A » (Action) inefficace. Elle peut être p rovoquée par une défaillance des phases « O » (Observation) et / ou « O » (Orientation), selon les facteurs suivants : • En phase d’observation, c’est un événement qui ne se conforme pas aux attentes ou aux hypothèses de la victime (e.g. menaces émergentes, notamment celles qui, combinant une vraisemblance faible avec un impact potentiel élevé, ne favorisent pas la recherche accrue d’information). • En phase d’orientation, c’est une dysfonction dans la compréhension de l’événement ou l’analyse qui en est faite (e.g. mauvaises communications entre collecteurs, analystes etc., auxquelles il faut y ajouter une vraie difficulté à écouter les points de vue minoritaires). 1.3 Modélisation des menaces P our élaborer la stratégie évoquée ci-avant, il est nécessaire d’appréhender les agressions, c'est-à-dire les scénarios d’attaque, de manière aussi complète que possible, en caractérisant les différents facteurs de surprise. Cette partie détaille une série complète de modèles pour représenter les événements dans leur globalité. 1.3.1 Etat de l’art N ous détaillons en annexe plusieurs modèles significatifs, extraits d’un état de l’art que nous avons réalisé : • Le premier, Sleipnir [8], est un modèle issu du renseignement criminel mis en œuvre par la police canadienne pour évaluer les organisations criminelles, à partir d’une douzaine de variables qui mélangent les ressources de l’organisation, ses activités, le degré de contrôle de son environnement. C’est un exemple type des outils américains et européens conçus pour évaluer le crime organisé [9]. • Le second est tiré des doctrines militaires de renseignement de préparation [10], initialement développées pour évaluer les composantes militaires. Cette approche a été par la suite adaptée à l’étude des groupes terroristes [11], des organisations criminelles structurées comme les cartels sud-américains [12], mais aussi des phénomènes de violence urbaine [13] ; elle se focalise sur les capacités opérationnelles et l’organisation de l’entité étudiée. • Le troisième est le travail du laboratoire de recherche national US, Sandia [14], qui a développé un savoir-faire en matière de red teaming3 afin d’évaluer la sécurité physique des installations nucléaires américaines ; cette méthode a été étendue à de nombreux domaines, notamment la cybersécurité. En particulier, elle a été appliquée dans le cadre du projet européen SECRET (Security of Railways against Electromagnetic Attacks) pour évaluer la menace d’attaques électromagnétiques sur des systèmes de transport ferroviaire. C’est une approche pragmatique qui combine des facteurs de capacité et de motivation pour évaluer la menace. • Le quatrième est un processus d’analyse systémique de la menace défini par l’armée française [15], destiné à modéliser n’importe quel type de menace par une démarche systématique fondée sur la représentation de ses composantes fondamentales : système de valeur (référentiel cognitif), système de pouvoir, système de ressource, stratégie & capacités d’action, sous-systèmes transverses. C’est un processus rigoureux et complet qui permet d’appréhender tout type de menace mais qui reste à un haut niveau. Les bases de connaissance pour une déclinaison concrète ne sont pas publiées. La comparaison de ces travaux de référence démontre à la fois l’intérêt d’une approche globale couvrant les nombreuses dimensions d’une menace et la nécessité de s’appuyer sur des variables concrètes pour dresser un profil pertinent. Dans le cadre de nos travaux de refondation de la méthode EBIOS4, nous avons développé un ensemble de modèles-type permettant une analyse systémique avec un niveau de détail important. 3 Le red teaming (terme initialement défini dans le domaine militaire) désigne les activités de groupes d’experts qui testent en conditions réelles la sécurité de systèmes (de toutes natures, y compris mais non limité au domaine cyber). 4 La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), créée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). C ommunication 5F /2 page 3/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 1.3.2 Modèle de l’environnement O n modélise l’environnement par un ensemble de 3 strates fondamentales inspiré de la théorie du système général [16] et du modèle du cyberespace élaboré par la NSA [17] (voir Figure 4) : • [ANTHROPIQUE-1] Strate cognitive : représentations sociales des êtres humains • [ANTHROPIQUE-2] Strate humaine : êtres humains, organisés en réseaux sociaux • [CYBERNETIQUE-1] Strate cyber persona : identités numériques nécessaires pour les échanges • [CYBERNETIQUE-2] Strate logique : processus et données informatiques • [PHYSIQUE-1] Strate composant : composants physiques de l’espace (inclut les composants SI) • [PHYSIQUE-2] Strate géographique : localisation géographique des composants et des personnes Figure 4 : modélisation stratifiée de l’espace Au sein de cette représentation de l’espace ainsi conçue, on peut modéliser, avec l’apport des travaux spécifiques sur les contenus des strates e t leurs interactions décrits ci-après, la cible et toutes ses parties intéressées (dont les acteurs de menace), et étudier précisément les confrontations via la modélisation des actions et des événements composant les scénarios d’attaques. Chaque strate est composée de nœuds et de liens intra-strates parcourus par des flux, de nature très différente en fonction de la strate concernée. Les échanges entre différentes strates sont matérialisés par des liens inter-strates parcourus par des flux. Ces nœuds et ces liens s ont propres à chaque strate, et la modélisation est grandement facilitée par l’apport de bases de connaissances existantes issues de domaines v ariés et alimentées par ailleurs, en fonction des besoins, par des travaux de recherche menés par les auteurs (voir Tableau 1). STRATE CARACTERISTIQUES BASES DE CONNAISSANCE Cette strate très caractéristique n’existe que par ses Bases de connaissance issue du domaine des risques liens avec la strate [ANTHROPIQUE-2]. psycho-sociaux (notions associées : marque, connaissance, ego, influence, propagande, culture, [ANTHROPIQUE-1] On utilisera notamment cette strate pour représenter psychologie). les perceptions partagées (i.e. identité de groupe) ou différenciées entre individus (i.e. valeurs, identité, degré de confiance, culture, habitudes et cultures). Modèle fractal : l’unité est la personne, les réseaux Bases de connaissance de nœuds issues de divers sociaux sont imbriqués. domaines : • Nœud : individus et groupes d’individus (cf. • [18] EBIOS V2 bases de connaissances) • [19] EBIOS 2010 • 3 catégories de connexion : lien, transaction, • Domaine sécurité physique : [20] CNPP contrôle • Domaine RSE : [21] ISO 26000 [ANTHROPIQUE-2] o Lien d’appartenance (i.e. famille, • Nature des connexions [22] entreprise) • Nature des confrontations [23] o Transaction (i.e. coordination, coopération, parasitisme, confrontation) o Contrôle (i.e. domination, parrainage, partenariat, rivalité, antagonisme) • Flux : flux associés aux connexions de type transaction et contrôle [CYBERNETIQUE-1] Fait l’objet de travaux existants – voir par ailleurs [24] [CYBERNETIQUE-2] [PHYSIQUE-1] Fait l’objet de travaux existants – voir par ailleurs [18] [19] [20] [24] [PHYSIQUE-2] Tableau 1 : détail du contenu des strates C ommunication 5F /2 page 4/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 1.3.3 Modèle de la cible et de l’acteur de menace A u sein de l’environnement ainsi spécifié, on développe dans cette partie un modèle des acteurs du scénario d’attaque : la cible et l’acteur de la menace. Chacune des parties possède des caractéristiques propres qui vont provoquer puis induire un scénario d’attaque de l’un vers l’autre (voir Figure 5) ; la symétrie des modélisations nous autorise à traiter celles-ci dans cette même section. Figure 5 : modèle de la cible et de l’acteur de menace On modélise la cible de manière à comprendre précisément la portée et l’ampleur des multiples effets qu’une agression donnée peut produire, au travers des composantes suivantes : • Ses biens, qui représentent ce qui a de la valeur pour elle-même, mais surtout pour les acteurs de menace (il peut exister des différences de perception sur ce point entre les acteurs) ; on introduit ici les missions (au sens large) supportées par la cible, qui ont été étudiées par ailleurs [24]. • Ses vulnérabilités, projetées sur les domaines de l’environnement (anthropique, cybernétique, physique), qui offrent des chemins d’attaque potentiels entre un acteur de menace et une cible. Les vulnérabilités combinent plusieurs caractéristiques [25] : o L’exposition caractérise le fait qu’il existe des chemins d’attaque potentiels sans considérer l’acteur de menace. o La sensibilité caractérise la propension du composant qui supporte la vulnérabilité à être transformé sous l’effet d’une attaque. o La sévérité caractérise l’impact de l’exploitation de cette vulnérabilité sur les biens essentiels supportés par le composant, elle traduit de fait la contribution de ce composant aux missions de la cible. • On résume par la notion d’attractivité les biens de la cible recherchés par les acteurs de menace faisant état de vulnérabilités qui les exposent. On modélise l’acteur de menace à partir de deux composantes fondamentales permettant d’appréhender ses moyens d’action et les raisons q ui le poussent à agir (voir Figure 5) : • Ses motivations, qui ont fait l’objet de travaux par ailleurs [26] [27] (voir Figure 6) permettant de tendre vers une taxonomie de motivation : o Motivation politique (induit des notions de pouvoir, prestige, puissance, etc.). o Motivation économique (induit des notions de richesse, possession, influence, etc.). o Motivation idéologique (induit des notions de culture, religion, éthique, etc.). o Motivation sociale (induit des notions de reconnaissance, influence, etc.). o Motivation idiosyncrasique (propre à chaque individu et par conséquent peu prédictible). o Motivation de survie (induit les notions de subsistance, résilience, etc.). PolitiqueIdéologique�Economique�Social�Idiosyncrasique�Défense / Survie PolitiqueIdéologique�Economique�Social�Idiosyncrasique�Défense / Survie Légende Wealth X x Défendre X travaux Behavioral Influences Analysis (USAF) SPRHLMiuoeiveorwleirrvgaealiiivhlrroiactonyhloyd XXxx Xxxxx xxxxx Xxxx x XXx travaux CICDE (France) MACITSmcr’oéaoqpnmiunuoqvtésaueeernénirrrc ri ruisirpnee ser vxaulteouirres XXXXx XXXx XXXx Xx XXx XX Xx FFiilliiaattiioonn deixrteractpeolée Figure 6 : filiation entre les différents modèles de motivation C ommunication 5F /2 page 5/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 • Ses ressources, regroupées en 6 variables choisies à partir du modèle capacitaire DORESE [15] (voir Tableau 2), auxquelles s’ajoutent ses propres moyens financiers. L’analyse des ressources permet de déterminer les capacités (voir Tableau 3) de l’acteur : o Ses capacités tactiques, définies comme des modes d’action élémentaires, spécifiques à chacun des domaines de l’environnement (anthropique, cybernétique, physique) o Ses capacités stratégiques qui résultent des combinaisons de ses capacités tactiques • On résume par la notion de dangerosité de l’acteur de menace les objectifs conformes à ses motivations et réalisables par ses capacités. Collection de principes et de bonnes pratiques permettant de guider les activités de l’entité. Variable, depuis la Doctrine simple expérience jusqu’à la formalisation complète des principes. Manière dont les ressources humaines sont agencées pour exécuter l’ensemble des activités, de la logistique à la Organisation conduite des opérations en passant par le renseignement et la planification. Ressources (H) Quantité et qualité (i.e. connaissances & compétences), des individus appartenant à l’entité. Equipements Ressources matérielles et installations mises à disposition de l’entité pour mener ses activités. Ils comprennent les moyens de communication, les moyens offensifs (par nature ou par destination), les moyens défensifs etc. Soutiens Catégories de soutiens externes, financiers, matériels, intellectuels ou moraux dont bénéficie l’entité. Modalité d’acquisition et de maintien des connaissances des ressources humaines de l’entité, y compris les Entraînement exercices, simulations etc. Finance Moyens financiers que peut mobiliser l’entité. Tableau 2 : caractérisation des ressources par domaine de l’environnement [PHYSIQUE] [CYBERNETIQUE] [ANTHROPIQUE] CITES DE GNEMENT RRReeeccnhoseneirngcanhiesems paeannrc tes otpeuhcrhycnseiisqq ouuuee v ertes vRRRueeélcctnrhhoéee-rrrianccbhhgieeléi ntpDéiasear rrl ikoseogn &uiecrt icaeenlslae losyu svee drtee s RRReeeccchuueeeirillc hpdeo’i nnpcfatoru rsemol audtr’icionensf o voriumav adeteritsoe nrsé asuepaurèxs PASEI Vol de support physique Cyber reconnaissance d’un personnel AN Renseignement par agent infiltré CRE Cyber espionnage CAPACITES DEFENSIVES SpSrééoccpuurrreiittséé pphhyyssiiqquuee ddeess oinpsétraalltaiotinosn s PCPFueryorrbstteeiivsrctditatiéénof cndee ned sse ec lyi’nibdfereran-sottiprtuééc rtautiroens sp ropres SSSééécccuuurrriiitttééé ddduees lp ’oeoprrségoraanntniisoeanl ts i on TES VES Entrée physique dans un site Entrée cybernétique ISnufbluveenrscieo n par cooptation ACINSI Piégeage & sabotage des installations Prise de contrôle de cyber-ressources Subversion par infiltration CAPOFFE Attaques physiques Cyberattaque Dl’oérsginafnoirsmataiotino n, Déstabilisation de Tableau 3 : caractérisation des capacités par domaine de l’environnement Une fois modélisés dans un même environnement, on peut associer la cible et l’acteur de menace via la confrontation de leurs composantes : • L’intérêt de l’acteur de menace résulte de la confrontation de ses motivations et des biens de la cible (ainsi que de leur valeur pour l’acteur de menace). • L’opportunité de l’acteur de menace résulte de la confrontation de ses capacités et des vulnérabilités de la cible, sur chacun des domaines de l’environnement (anthropique, cybernétique, physique). C ommunication 5F /2 page 6/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 A titre d’exemple, on identifie les acteurs de menace (voir Figure 7) dans le cadre d’une cible dans le domaine bancaire basée sur un scénario existant ayant fait l’objet d’une analyse détaillée par ailleurs [28]. Cette analyse s’appuie notamment sur une taxonomie des c ybercriminels [29]. Hacktiviste Hacker de métier politique politique défense idéologique défense idéologique idiosyncrasique économique idiosyncrasique économique sociale sociale Cybercriminel type "grappe hybride" Cybercriminel type "hub" Cybercriminel type "hiérarchique" politique politique politique défense idéologique défense idéologique défense idéologique idiosyncrasique économique idiosyncrasique économique idiosyncrasique économique sociale sociale sociale Figure 7 : modélisation de la motivation des acteurs de menace dans le cadre de l’attaque Carbanak APT 1.3.4 Modèle des scénarios d’attaque Les scénarios d’attaque sont construits comme des combinaisons logiques d’actions élémentaires, issues de bases de connaissance particulières ou directement modélisées comme des transformations de l’espace. Ces actions peuvent être déclenchées dans chacun des d omaines et leurs effets se propager dans les autres domaines en fonction des vulnérabilités. O n identifie une taxonomie d’actions élémentaires qui recouvrent l’ensemble des possibilités de l’acteur de menace, et à partir desquelles les s cénarios complexes peuvent être élaborés : • [DYSFONCTION-1] Corruption des capacités de la cible • [DYSFONCTION-2] Dégradation des capacités de la cible • [EXPLOITATION-1] Exécution de capacités propres • [EXPLOITATION-2] Génération de capacités propres • [USURPATION-1] Exécution de capacités de la cible • [USURPATION-2] Insertion de nouvelles capacités dans la cible O n note une particularité de ce modèle : il ne se limite pas aux actions que l’on peut exécuter sur l’environnement, mais intègre aussi celles q ue l’on peut réaliser sur soi-même. En particulier : • Ce modèle est applicable indifféremment à l’acteur de menace et à la cible ; cette dernière effectuera la plupart du temps des actions de type [EXPLOITATION], c’est-à-dire des actions sur elle-même. • Ce modèle intègre naturellement la notion de renseignement, qui englobe les techniques et moyens d’acquisition d’information. Ces notions sont un sous-ensemble des actions de type [EXPLOITATION]. La succession d’actions élémentaires constitue un scénario d’attaque. Cela ne se limite pas à une séquence logique d’événements mais est piloté par les décisions de son acteur, fondées sur ses connaissances et capacités. Comme évoqué précédemment (voir Figure 3), on exprime dans le modèle le processus de décision des acteurs par un cycle OODA. Les cycles successifs s’imbriquent, via les liens logiques pré- et post-conditions, pour former ce que l’on pourrait nommer une grammaire du scénario d’attaque (voir Figure 8) : • Les « O » (Observation / Orientation) du modèle OODA sont les conditions requises en matière de capacité et d’opportunité pour déclencher une action • Le « A » (Action) du modèle OODA est l’une des actions élémentaires modélisée selon la taxonomie exprimée ci-avant • Les actions élémentaires induisent une transformation de l’environnement ; en conséquence, les cycles OODA s’enchaînent de façon à constituer un scénario réfléchi pour arriver au but recherché. Figure 8 : scénario d’attaque via un enchaînement de processus OODA C ommunication 5F /2 page 7/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 A titre d’exemple, on modélise (voir Figure 9) une attaque complexe, distribuée sur plusieurs strates, ayant fait l’objet d’une analyse détaillée par ailleurs [28]. Chaque étape est exprimée sous la forme d’une action élémentaire appliquée à une strate donnée de l’espace. Figure 9 : modélisation de l’attaque Carbanak APT5 A ce stade, l’ensemble des modèles est défini. On se basera sur ceux-ci pour analyser la confrontation entre une cible et un acteur de menace, à partir des interactions entre leurs cycles OODA respectifs. 1.3.5 Focus sur la déception Les actions de déception sont un élément décisif de la surprise, elles peuvent précéder ou accompagner l’agression proprement dite. Waltz et B ennet ont synthétisé les différents modes de déception sous la forme de quatre principes [30] (voir Tableau 4). • Divulgation d’informations vraies au bénéfice de l’attaquant (i.e. double bluff ruse). Révéler des faits • Dévoilement d’équipements ou d’installations réelles (i.e. afin d’accroître la crédibilité de la source). • Gestion du secret (i.e. habilitations, programme OPSEC6, sécurité physique). Cacher des faits • Conservation d’informations pour susciter des impressions erronées ou trompeuses. (dissimulation) • Camouflage, occultation, réduction des signaux, (i.e. équipements et matériels furtifs, communications à large spectre), déguisements, éblouissements, etc. • Techniques non verbales (i.e. attitudes). • Désinformation par mensonge. Montrer une fiction • Désinformation par saturation (i.e. larges volumes de communication). (simulation) • Emploi de leurres, diversions (feintes, manifestations) imitations, mascarades. Dissimuler une • Dissimulation d’informations fausses. fiction • Camouflage d’éléments physiques factices. Tableau 4 : principes de déception On peut noter que la déception ne se limite pas aux combinaisons simulation-dissimulation mais peut intégrer des faits avérés pour accroître la véracité d’une situation, ou encore dissimuler des éléments controuvés pour produire un double effet et renforcer ainsi les convictions erronées de la cible. Ces modèles sont novateurs sur plusieurs points : d’abord ils prolongent l’état de l’art en étant plus précis et plus complets, ensuite ils possèdent de véritables articulations logiques fondées sur le substrat commun qu’est le modèle de l’environnement, ils permettent enfin d‘envisager une modélisation formelle à partir de la représentation des chacune des strates par des graphes. 1.4 Anticipation de la surprise - renseignement 1.4.1 Approche du renseignement Le renseignement est le socle nécessaire pour anticiper – autant que possible – la matérialisation de ces menaces. Il représente bien plus que de l’information ou des données : il s’agit de connaissances qui sont organisées pour satisfaire les besoins particuliers d’un « client ». La fonction de renseignement a donc pour but d’offrir aux unités opérationnelles, ou aux décideurs, la compréhension pragmatique d’une situation ou d’un problème criminel qui doit être transposable en moyens d’action. En pratique, il repose sur les fonctions d’Observation et d’Orientation du cycle OODA du défenseur. 5 Il s’agit d’un cas de vol massif sur plusieurs établissement bancaires ayant fait l’objet de manœuvres élaborées : observation des usages et des mots de passe tapés sur les claviers via les caméras de surveillance, prise de contrôle sur les systèmes de distributeurs de billets, etc. 6 Contraction de Operational Security : désigne l’ensembles des mesures, organisationnelles, procédurales et techniques qu’il convient de mettre en œuvre pour interdire à un tiers d’espionner ses activités. C ommunication 5F /2 page 8/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 Plus précisément, le renseignement criminel comprend cinq activités : • Explorer & Détecter (correspondance OODA : phase Observation du cycle initial) Effectuer un balayage de l’environnement afin de dépister la présence d’individus, de groupes ou de phénomènes susceptibles de présenter un danger. Cette activité peut également mettre en lumière des fluctuations inhabituelles de la criminalité ou encore des éléments communs à plusieurs affaires. La qualité du diagnostic et la capacité à reconnaître des anomalies ou des éléments marquants conditionnent une bonne appréhension de l’environnement social, ainsi que la détermination d’objectifs organisationnels précis et la qualité de la gestion des flux informationnels. Résultats attendus : identification des hostiles (et de leurs caractéristiques primaires de motivation / capacité), plus leurs inter- relations. • Connaître (correspondance OODA : phase Orientation du cycle initial) Approfondir les spécificités d’un phénomène criminel et les profils des auteurs (individus ou groupes) afin de repérer les contre- mesures ou les moyens d’action appropriés. La fonction de renseignement offre la possibilité de constituer un savoir pratique sur l’environnement social en s’appuyant sur les modèles présentés en section 1.3. La production de connaissances reste tributaire des qualités intellectuelles des analystes et demeure assujettie à une construction conceptuelle de la criminalité induite par la culture organisationnelle (croyances, préjugés etc.). Résultats attendus : approfondissement de la connaissance des hostiles (inclut leurs intentions et modes d’action). • Anticiper (correspondance OODA - phase Orientation du cycle initial) Formuler des scénarios (pessimistes ou optimistes) à partir de l’ensemble des connaissances acquises sur un phénomène criminel général ou sur un acteur de menace (individu ou groupe) particulier, susceptible d’agir contre l’entreprise. Il s’agit, à partir de la sommes des données recueillies, de produire des analyses prospectives, d’établir des pronostics et même d’estimer des vraisemblances afin de dégager des constats utiles sur les tendances ou des phénomènes criminels émergents. Résultats attendus : liste hiérarchisée des scénarios de menace. • Recommander (correspondance OODA : phase Orientation du cycle initial) Proposer en les justifiant des stratégies ou actions qui pourraient être envisagées dans l’avenir. Cette activité guide les décideurs en leur indiquant les contre-mesures possibles, leur efficacité, en fonction des objectifs fixés et des ressources disponibles. Résultats attendus : combinaison de principes pour définir et déployer la stratégie (cf. §1.5). • Evaluer (correspondance OODA : phase Orientation du cycle suivant) Cette activité, menée a posteriori, examine de façon rigoureuse les résultats des moyens de défense, y compris leurs répercussions sur les opérations normales de l’entreprise. Elle permet de constituer un savoir sur l’efficacité relative des méthodes et procédures mises en œuvre par l’entreprise et participe de fait à l’apprentissage de l’organisation. Résultats attendus : modèle mis à jour de la cible. 1 .4.2 Prise en compte de la déception La mise en œuvre du cycle OODA doit tenir compte des actions de déception d’un adversaire qui peuvent être décomposées en actions élémentaires (voir section ad hoc) : • [DYSFONCTION-2] Dégradation de la phase d’Observation par le déni d’information ou par la transmission de données ou signaux incorrects ; • [USURPATION-1] Exécution des capacités d’Observation pour transmettre à la phase Orientation des informations empoisonnées afin d’obtenir une [DYSFONCTION-1] Corruption de l’Orientation entraînant une décision inadaptée. Il est alors indispensable de bien appréhender les différentes catégories de vulnérabilités qui peuvent affecter chacune des étapes du renseignement, en faisant la distinction entre les biais cognitifs individuels, les fragilités des canaux de communication et les faiblesses de l’organisation. 1.5 Adaptation à la surprise - résilience 1.5.1 Approche de la résilience Lorsque la surprise n’a pu être anticipée et se réalise, c'est-à-dire lorsque le renseignement préalable est pris en défaut, la seule option qui reste est de s’adapter aux circonstances de manière aussi rapide et efficace que possible, c'est-à-dire de disposer d’une capacité de résilience. Cette partie présente une approche de résilience dynamique, fondée sur l’idée de flexibilité appliquée à 4 axes complémentaires [4] : • Concepts & doctrine (A.1) Cet axe, le premier et le plus important, repose sur deux éléments qui permettent d’adapter la prise de décision : le premier est l’ouverture d’esprit et la remise en cause des « certitudes », la prise en compte des opinions minoritaires, la tolérance aux idées venues de l’extérieur etc., et le second concerne l’équilibre entre les multiples formes d’action de défense, passives comme actives, depuis la préparation jusqu’à la restauration. • Technologies & organisation (A.2) Le second axe concerne la manière dont le système est organisé, il repose sur un ensemble de principes parmi lesquels, la redondance, la diversité, la modularité, la dispersion etc. qui garantissent la mise en œuvre de modes alternatifs de fonctionnement lorsqu’une agression dégrade le système. • Ressources intellectuelles & capacité de commandement (A.3) C ommunication 5F /2 page 9/16 20e Congrès de maîtrise des risques et de sûreté de fonctionnement - Saint-Malo 11-13 octobre 2016 Largement appuyé sur le premier axe, celui-ci traite de la prise de décision en temps-réel et de la transmission des ordres nécessaires à la réaction face à une situation inattendue. Il met en jeu à la fois les ressources intellectuelles indispensables pour analyser rapidement une situation et la capacité à décider pour réagir à cette situation. • Circulation rapide de l’information & apprentissage accéléré (A.4) Enfin, il est fondamental de développer une capacité d’apprentissage en temps réel, c'est-à-dire au moment même où la surprise se développe. Ceci nécessite une circulation rapide de l’information entre les organes de renseignement et les centres de décision, afin de déterminer les solutions idoines et de les diffuser rapidement. 1.5.2 Principes de mise en œuvre L a mise en œuvre de la résilience sur le terrain est facilitée par une liste de principes, à décliner à la fois lors des phases de conception de système et pendant son exploitation (voir Tableau 5). La combinaison de ces principes vise en fait à accélérer le cycle OODA du défenseur et à ralentir celui de l’adversaire pour prendre l’ascendant et le neutraliser. C’est la force du modèle OODA qui s’applique en fait à toutes les s ituations de concurrence. Principe Description Axes Moindre Ne fournir que les permissions ou rôles nécessaires. A1, A3 privilège Séparation Distribuer des rôles (autorités). A1, A3 des pouvoirs Non Représenter fidèlement des opérations pour permettre la coordination des actions. A1, A2, interférence Suppression des dépendances superflues. A3, A4 Minimisation Limiter les capacités aux besoins essentiels. A2, A4 Simplification N’autoriser que la complexité nécessaire. A2, A4 Connaître les vulnérabilités, les menaces, les dépendances, les conséquences éléments clés pour prioriser les Vigilance investissements et fixer les mesures défensives. A1 Connaissance de la situation en temps réel. Agilité Se réorganiser rapidement pour répondre plus efficacement à une nouvelle situation. A1, A4 Garantir la résistance via les redondances, la diversité, les réserves et d’autres approches (adaptation du Robustesse A2 système pour neutraliser des vulnérabilités et contrer des menaces). Diversité Combiner des composants d’origine et de factures différentes pour éviter les vulnérabilités communes. A2 Minimiser la criticité d’un composant en fragmentant le lien composant – élément essentiel (inclut la Dispersion A2 redondance). Equilibrer les contraintes de mise en œuvre des mesures de défense avec les effets attendus et les évaluer en relation avec des approches alternatives. A1, A2, Equilibre Trouver une balance entre des principes contradictoires (e.g. Simplification et Diversité). A3, A4 Concentrer les efforts selon la criticité et les dépendances entre systèmes. A1, A2, Optimisation Optimiser les ratios attaque/défense, la créativité humaine, les ressources matérielles, les coûts / bénéfices… A3, A4 Maximiser les incertitudes / risques / coûts pour l’adversaire. Asymétrie A1 Maximiser l’efficacité / assurance / bénéfices pour le défenseur. Développer des aptitudes multiples. A1, A2, Polyvalence Etre capable d’accomplir des missions de types différents. A4 Etre capable de changer de forme. Plasticité Accepter le changement, faire preuve de souplesse dans les rapports interpersonnels, de réceptivité aux idées A1, A2 nouvelles et aux idées d'autrui. Organiser, répartir et combiner les mesures de défense dans la profondeur du système afin de couvrir tous Défense en A1, A2, les chemins d’attaque. profondeur A3, A4 Echanger le temps, l’espace, et la connaissance. Tableau 5 : principes de mise en œuvre de la résilience C ommunication 5F /2 page 10/16